As zonas de espelhamento são um recurso BIND que permite aos servidores recursivos pré-armazenar em cache os dados da zona fornecidos por outros servidores. Uma zona de espelho é semelhante a uma zona do tipo secundário, exceto que seus dados estão sujeitos à validação DNSSEC antes de serem usados em respostas, como se tivessem sido consultados por recursão tradicional e, quando os dados da zona de espelho não podem ser validados, o BIND volta a usar recursão tradicional em vez da zona de espelho. No entanto, um erro nas verificações de validade dos dados da zona de entrada pode permitir que um invasor no caminho substitua os dados da zona que foram validados por uma âncora de confiança configurada por dados falsificados de sua escolha. O recurso da zona de espelho é usado com mais frequência para servir uma cópia local da zona raiz. Se um invasor conseguir se inserir no caminho da rede entre um servidor recursivo usando uma zona de espelho e um servidor de nomes raiz, essa vulnerabilidade poderá ser usada para fazer com que o servidor recursivo aceite uma cópia de dados falsificados da zona raiz. Um invasor no caminho que consegue explorar com êxito essa vulnerabilidade pode substituir a zona espelhada (geralmente a raiz) por dados de sua própria escolha, ignorando efetivamente a proteção DNSSEC.