물리적인 QR 코드는 신뢰 계층이 없습니다. 휴대폰이 주차 미터에 붙은 QR 스티커를 해독할 때, URL을 읽고 해당 URL을 엽니다. 이것이 전부입니다. 카메라에는 해당 코드가 주장된 기관에 의해 부착되었는지, 혹은 라벨 프린터와 새로 등록된 유사 도메인을 가진 사람에 의해 부착되지 않았는지 확인할 방법이 없습니다. 이 취약점은 최근까지 충분히 활용되지 않았습니다. 하지만 이제는 그러지 않습니다. 뉴욕시 교통국(NYC's Department of Transportation)은 지난 6월 공식 소비자 경고를 발표했습니다.