Die Schwachstelle wurde von dem Sicherheitsforscher depthfirst entdeckt und betrifft das ngx_http_rewrite_module von NGINX. Sie entsteht durch einen Heap-Buffer-Overflow, der ausgelöst wird, wenn die Rewrite-Direktive von bestimmten anderen Direktiven (Rewrite, If oder Set) gefolgt wird und dabei unbenannte PCRE-Capture-Gruppen (wie $1 oder $2) mit Fragezeichen in der Ersetzungszeichenkette verwendet werden.
Das Gefährliche an dieser Lücke ist ihre Einfachheit der Ausnutzung: Ein Angreifer muss lediglich eine speziell manipulierte HTTP-Anfrage an den NGINX-Server senden. Es ist keine vorherige Authentifizierung, kein Zugriff auf das System und keine bestehende Sitzung erforderlich. Mit nur einer einzigen Anfrage kann der Heap des Worker-Prozesses überschrieben werden, wodurch Code-Ausführung möglich wird – besonders wenn Address Space Layout Randomization (ASLR) deaktiviert ist.
Laut den Sicherheitsforschern lässt sich die Schwachstelle zuverlässig auslösen, und die vom Angreifer in der URI übertragenen Bytes ermöglichen ihm, die Heap-Korruption gezielt zu gestalten. Das bedeutet, dass wiederholte Anfragen dazu verwendet werden können, Worker-Prozesse in eine Crash-Schleife zu versetzen und die Verfügbarkeit aller von der NGINX-Instanz gehosteten Websites zu beeinträchtigen.
F5 hat die Sicherheitslücke am 21. April 2026 nach verantwortungsvoller Offenlegung bestätigt und betroffene Versionen veröffentlicht. Das Unternehmen rät Nutzern dringend, auf die neuesten gepatchten Versionen zu aktualisieren. Als Workaround können Administratoren unbenannte Captures durch benannte Captures in den betroffenen Rewrite-Direktiven ersetzen – eine Maßnahme, die sofortige Schutzwirkung bietet, aber nicht so zuverlässig ist wie ein vollständiger Patch.
Deutsche Systemadministratoren sollten sofort die Patchverfügbarkeit für ihre NGINX-Installation überprüfen und ein Update einplanen. Organisationen mit kritischen Services sollten Patches mit höchster Priorität einspielen, um Ausfallzeiten und potenzielle Datenverluste zu vermeiden.