Die Schwachstelle steckt im Kern des Undertow-HTTP-Servers, einer Java-Bibliothek, die unter anderem in WildFly, JBoss EAP und weiteren Java-Anwendungen als Webserver-Komponente zum Einsatz kommt. Der Defekt liegt darin, dass Undertow den Host-Header eingehender HTTP-Anfragen nicht ausreichend prüft. Dadurch werden Anfragen mit fehlerhaftem oder bewusst manipuliertem Host-Header verarbeitet, statt abgewiesen zu werden. Ein Angreifer kann diese Lücke auf mehrere Weisen ausnutzen: Er kann Caches mit untergeschobenen Inhalten vergiften (Cache Poisoning), den Server für Scans des internen Netzwerks missbrauchen oder Benutzersitzungen kapern und so fremde Sitzungen übernehmen. Betroffen sind sämtliche Anwendungen, die auf der Undertow-Bibliothek aufsetzen – die fehlende Header-Validierung wirkt damit nicht nur auf eine einzelne Anwendung, sondern auf jede Software, die diese Komponente als Webserver nutzt.