Die Schwachstelle betrifft Apache Tomcat und beruht auf einer unzureichenden Prüfung von Eingaben bei der Verarbeitung von Anfragen über eine veraltete, sehr frühe Variante des HTTP-Protokolls. Tomcat schränkte solche Anfragen nicht auf die GET-Methode ein, wie es die Spezifikation vorsieht. Daraus ergibt sich eine Umgehung von Zugriffsbeschränkungen: War für eine bestimmte Adresse eine Sicherheitsregel so konfiguriert, dass sie HEAD-Anfragen erlaubt, GET-Anfragen aber verweigert, konnte ein Angreifer diese Regel aushebeln. Dazu sendete er eine spezifikationswidrige HEAD-Anfrage über diese veraltete Protokollvariante und erhielt auf diesem Weg dennoch den per GET geschützten Zugriff. Im Ergebnis lassen sich Inhalte oder Funktionen abrufen, die durch die konfigurierte Beschränkung eigentlich gesperrt sein sollten. Betroffen sind Installationen, die ihre Zugriffssteuerung über solche methodenbezogenen Sicherheitsregeln umsetzen.