Die Schwachstelle betrifft Axios, einen weit verbreiteten HTTP-Client für den Browser und für Node.js, mit dem Anwendungen Anfragen an andere Server stellen. Der Fehler liegt in der Auswertung der NO_PROXY-Einstellung, mit der sich festlegen lässt, welche Ziele unter Umgehung eines konfigurierten Proxys direkt angesprochen werden dürfen. Ein Angreifer, der die Ziel-Adresse einer Axios-Anfrage beeinflussen kann, vermag diesen Schutz vollständig auszuhebeln: Er nutzt dafür eine Adresse aus dem lokalen Loopback-Adressbereich, die von der Prüfung nicht korrekt erfasst wird. Dadurch lässt sich die NO_PROXY-Beschränkung umgehen und der Datenverkehr an einem Proxy vorbeileiten beziehungsweise auf interne, eigentlich abgeschirmte Adressen lenken. Der Defekt ist die Folge einer unvollständigen Korrektur einer früheren, gleichartigen Schwachstelle in derselben Komponente.