Die Schwachstelle betrifft den weit verbreiteten Webserver Apache HTTP und steckt in mehreren seiner Module. Es handelt sich um einen Fehler, der eine Rechteausweitung ermöglicht. Ausnutzen können ihn lokale Autoren von .htaccess-Dateien – also Benutzer, die auf einem Server zwar eigene Konfigurationsdateien in ihren Verzeichnissen ablegen dürfen, aber keine umfassenden Systemrechte besitzen. Über den Defekt kann ein solcher Autor Dateien mit den Rechten des httpd-Benutzers auslesen, unter dem der Webserver-Prozess läuft. Dadurch erhält er Zugriff auf Inhalte, die ihm normalerweise verwehrt bleiben, und kann die durch die .htaccess-Mechanik gezogene Grenze zwischen seinen eigenen Berechtigungen und denen des Serverprozesses überwinden. Besonders relevant ist dies in geteilten Hosting-Umgebungen, in denen mehrere Nutzer auf demselben Server arbeiten und sich auf die Trennung ihrer Zugriffsrechte verlassen.