Die Schwachstelle betrifft das Modul mod_md des Apache HTTP Server. Dieses Modul verwaltet die automatische Beschaffung und Erneuerung von TLS-Zertifikaten über das ACME-Protokoll und verarbeitet dabei unter anderem OCSP-Antwortdaten – also die Statusmeldungen, mit denen geprüft wird, ob ein Zertifikat noch gültig oder bereits widerrufen ist. Beim Verarbeiten dieser OCSP-Daten begrenzt das Modul die Inanspruchnahme von Systemressourcen nicht ausreichend und drosselt sie nicht. Dadurch kann eine entsprechend präparierte oder übermäßig große OCSP-Antwort den Server dazu bringen, unkontrolliert Ressourcen zu belegen. Im Ergebnis lässt sich die Verfügbarkeit des Webservers beeinträchtigen, weil die fehlende Begrenzung die Grundlage für eine Erschöpfung der Ressourcen schafft. Betroffen sind Installationen des Apache HTTP Server, bei denen mod_md aktiv genutzt wird und somit OCSP-Antworten einholt und auswertet.