Die Schwachstelle betrifft das Modul mod_auth_digest im Apache HTTP Server, das die sogenannte Digest-Authentifizierung umsetzt – ein Verfahren, mit dem sich Nutzer gegenüber dem Webserver mit Zugangsdaten ausweisen. Der Defekt ist als zeitbasierter Seitenkanalangriff (Timing-Angriff) angelegt: Die Bearbeitung der Anmeldedaten benötigt je nach Eingabe minimal unterschiedlich lange, und aus diesen messbaren Laufzeitunterschieden kann ein Angreifer Rückschlüsse ziehen. Dadurch lässt sich die Digest-Authentifizierung umgehen, ohne die korrekten Zugangsdaten zu kennen. Ausnutzbar ist die Lücke aus der Ferne über das Netzwerk. Im Ergebnis kann ein entfernter Angreifer den Schutz der Authentifizierung aushebeln und sich Zugriff auf eigentlich abgesicherte Bereiche verschaffen. Betroffen sind Apache-HTTP-Server-Installationen, die für geschützte Inhalte auf die Digest-Authentifizierung über mod_auth_digest setzen.