Die Schwachstelle betrifft Netty, ein asynchrones, ereignisgesteuertes Framework zur Entwicklung von Netzwerkanwendungen. Sie sitzt im HTTP/2-Server von Netty und erlaubt einem entfernten Nutzer, eine Dienstblockade (Denial of Service) auszulösen. Dazu überflutet der Angreifer den Server mit einer großen Menge sogenannter CONTINUATION-Frames – HTTP/2-Folgerahmen, die normalerweise zusammengehörige Header übertragen. Der Server begrenzt die Anzahl dieser Frames nicht. Zusätzlich lassen sich die vorhandenen, auf die Datenmenge abzielenden Schutzmaßnahmen durch Rahmen ohne Inhalt (Null-Byte-Frames) umgehen. So kann ein Angreifer mit nur geringem Bandbreitenaufwand eine übermäßige CPU-Auslastung erzwingen und den Server bis zur Reaktionsunfähigkeit überlasten. Betroffen ist jede Anwendung, die den HTTP/2-Server von Netty bereitstellt; da Netty als Baustein in zahlreichen Server- und Backend-Diensten steckt, kann die Lücke eine breite Palette von Anwendungen treffen.