Die Schwachstelle steckt im Modul mod_dav_lock des Apache HTTP Server. Es handelt sich um eine NULL-Zeiger-Dereferenzierung: Durch eine speziell präparierte, bösartige Anfrage kann ein Angreifer das Modul dazu bringen, auf einen nicht gesetzten Zeiger zuzugreifen, was zum Absturz des Servers führt. Damit lässt sich die Verfügbarkeit des Webservers aus der Ferne stören. Bemerkenswert ist der eingeschränkte Wirkungskreis: mod_dav_lock wird von den DAV-Modulen mod_dav und mod_dav_fs intern gar nicht verwendet. Der einzige bekannte Anwendungsfall war das Modul mod_dav_svn aus älteren Versionen von Apache Subversion. Betroffen sind also nur Installationen, in denen mod_dav_lock tatsächlich geladen und eingebunden ist – für typische Apache-Konfigurationen ohne dieses Modul besteht keine Angriffsfläche.