Die Schwachstelle betrifft ASP.NET Core, das Webframework von Microsoft für die Entwicklung von Web-Anwendungen und -Diensten. Ihr liegt eine uneinheitliche Auslegung von HTTP-Anfragen zugrunde – das sogenannte HTTP Request/Response Smuggling. Dabei interpretieren mehrere an der Verarbeitung beteiligte Stellen (etwa ein vorgelagerter Proxy und der dahinterliegende Anwendungsserver) ein und dieselbe HTTP-Anfrage unterschiedlich, insbesondere hinsichtlich der Frage, wo eine Anfrage endet und die nächste beginnt. Diese Diskrepanz kann ein Angreifer ausnutzen, um eingeschmuggelte Anfragen an der vorgesehenen Prüfung vorbeizuschleusen und so eine Sicherheitsfunktion zu umgehen. Der Angriff erfolgt über das Netzwerk; vorausgesetzt wird, dass der Angreifer bereits über eine gewisse Berechtigung verfügt. Im Ergebnis lassen sich Schutzmechanismen aushebeln, die eigentlich greifen sollten – etwa indem manipulierte Anfragen vom System anders behandelt werden, als die vorgeschaltete Kontrolle annimmt.