Die Schwachstelle betrifft das OWASP Core Rule Set (CRS), eine herstellerunabhängige Sammlung generischer Erkennungsregeln für Web Application Firewalls, die typische Angriffe auf Webanwendungen abwehren soll. Der Fehler steckt in der Verarbeitung mehrteiliger Anfragen (multipart), die aus mehreren Teilen bestehen. Eine der Erkennungsregeln ist als Kette aufgebaut: Die erste Regel durchläuft eine Sammlung von Werten – etwa die Kopfzeilen der einzelnen Nachrichtenteile – und legt dabei erfasste Werte in Hilfsvariablen ab. Bei jedem Durchlauf werden diese Variablen jedoch überschrieben, sodass der nachgeschalteten Regel nur noch der zuletzt erfasste Wert zur Verfügung steht. Dadurch kann ein bösartiger Zeichensatz in einem früheren Teil der Anfrage unbemerkt bleiben, sobald ein späterer Teil einen unverdächtigen Zeichensatz enthält. Ein Angreifer kann seine Anfrage so aufbauen, dass die Schadkomponente an der Prüfung vorbeigeschleust wird und die Firewall den Angriff nicht erkennt.