Die Schwachstelle betrifft Apache ActiveMQ beziehungsweise dessen Web-Komponente. Sie steckt im MessageServlet der Web-Konsolen-API: Dieses Servlet überträgt jede einzelne Eigenschaft einer JMS-Nachricht ungeprüft in einen HTTP-Antwort-Header. Da keinerlei Validierung oder Bereinigung der Werte stattfindet, lässt sich daraus eine Cross-Site-Scripting-Schwäche ableiten – Eingaben gelangen ohne Neutralisierung in die erzeugte Web-Ausgabe. Ein Angreifer kann diese Lücke ausnutzen, indem er gezielt Eigenschaften auf JMS-Nachrichten setzt, die anschließend vom Servlet zurückgeliefert werden. Auf diese Weise lassen sich beliebige Antwort-Header einschleusen und sogar bestehende Sicherheits-Header überschreiben. Damit kann ein Angreifer die vom Server gesetzten Schutzmechanismen aushebeln und Schadcode im Browser eines Nutzers zur Ausführung bringen. In der korrigierten Fassung wurde das betroffene MessageServlet als veraltet eingestuft und ist standardmäßig deaktiviert.