Die Schwachstelle betrifft Servlet-Anwendungen, die Spring Security einsetzen. Wenn eine solche Anwendung HTTP-Antwort-Header festlegt, besteht die Möglichkeit, dass diese Header gar nicht in die HTTP-Antwort geschrieben werden. Betroffen ist das standardmäßig verwendete verzögerte (“lazy”) Schreiben der HTTP-Header. In diesem Fall können vom Entwickler vorgesehene Antwort-Header unbemerkt ausbleiben. Das ist sicherheitsrelevant, weil über solche Header üblicherweise Schutzmechanismen an den Browser übermittelt werden; fehlen sie, greifen die damit verbundenen Schutzvorkehrungen nicht, ohne dass dies ohne Weiteres auffällt. Betroffen sind Server-Anwendungen, die auf der Servlet-Technik aufsetzen und ihre Sicherheits-Header über Spring Security verwalten.