Die Schwachstelle steckt im HTTP-Parser von Eclipse Jetty. Betroffen ist die Verarbeitung sogenannter Chunk-Erweiterungen – Zusatzangaben, die bei der stückweisen (chunked) Übertragung von Anfragedaten zulässig sind. Der Parser beendet das Einlesen einer solchen Erweiterung bereits an einem Zeilenumbruch, selbst wenn dieser innerhalb einer noch nicht geschlossenen, in Anführungszeichen stehenden Zeichenkette auftritt, anstatt dies als Fehler zu werten. Dadurch lässt sich der Server über den tatsächlichen Aufbau und das Ende einer Anfrage täuschen. Ein Angreifer kann eine offen gelassene Erweiterung in Anführungszeichen nutzen, um in den Datenstrom eine zweite, geschmuggelte Anfrage einzuschleusen (Request Smuggling). Verarbeiten ein vorgelagertes System und Jetty die Grenzen der Anfrage unterschiedlich, kann der Angreifer auf diese Weise zusätzliche, eigentlich nicht zugelassene Anfragen unterschieben. Betroffen sind Umgebungen, in denen Jetty hinter einem Proxy oder Loadbalancer HTTP-Anfragen entgegennimmt.