Die Schwachstelle betrifft die Client-Zertifikatsprüfung (CLIENT_CERT-Authentifizierung) in Apache Tomcat und der ergänzenden Bibliothek Apache Tomcat Native. Bei dieser Authentifizierungsart weisen sich Clients gegenüber dem Server mit einem digitalen Zertifikat aus, statt mit Benutzername und Passwort. Der Fehler tritt auf, wenn die Option „soft fail“ deaktiviert ist – also wenn eine fehlgeschlagene Zertifikatsprüfung den Zugriff eigentlich strikt verweigern soll. In bestimmten Situationen schlägt die Prüfung jedoch nicht wie vorgesehen fehl: Ein Client, dessen Zertifikat eigentlich abgelehnt werden müsste, wird fälschlicherweise nicht abgewiesen. Dadurch kann die Zugangskontrolle umgangen werden, und ein Angreifer erlangt unter Umständen Zugriff auf Bereiche oder Anwendungen, die eigentlich nur authentifizierten Clients vorbehalten sind. Betroffen sind Installationen, die auf die Authentifizierung per Client-Zertifikat setzen und dabei auf ein striktes Fehlverhalten angewiesen sind.