Die Schwachstelle betrifft Axios, einen weit verbreiteten HTTP-Client für den Browser und für Node.js, mit dem Anwendungen Netzwerkanfragen abwickeln. Der Fehler steckt in der internen Funktion mergeConfig, die Konfigurationsobjekte zusammenführt. Enthält ein solches Objekt die Eigenschaft proto als eigene Eigenschaft, stürzt die Funktion mit einem TypeError ab. Ein Angreifer kann dies auslösen, indem er ein präpariertes Konfigurationsobjekt bereitstellt, das etwa über JSON.parse() aus eingehenden Daten erzeugt wurde und einen entsprechenden proto-Schlüssel trägt. Wird dieses Objekt von Axios verarbeitet, bricht die Anwendung ab. Dadurch lässt sich eine vollständige Dienstblockade (Denial of Service) erzielen: Der betroffene Dienst wird funktionsunfähig. Gefährdet sind Anwendungen, die Konfigurationsdaten aus nicht vertrauenswürdigen Quellen an Axios weiterreichen, weil der Angreifer dann den Inhalt des Konfigurationsobjekts beeinflussen kann.