Die Schwachstelle betrifft die Digest-Authentifizierung des Webservers Apache Tomcat. Die Digest-Authentifizierung ist ein Verfahren, bei dem ein Client seine Zugangsdaten nicht im Klartext, sondern als kryptografische Prüfsumme an den Server übermittelt, um den Zugriff auf geschützte Bereiche abzusichern. In der Umsetzung dieses Verfahrens steckt ein Fehler, der eine Umgehung der Authentifizierung ermöglicht: Ein Angreifer kann den vorgesehenen Anmeldevorgang aushebeln und so Zugriff erlangen, ohne sich korrekt ausweisen zu müssen. Betroffen ist der serverseitige Authentifizierungsmechanismus von Tomcat, der häufig vor Anwendungen und Verwaltungsoberflächen geschaltet ist. Wird diese Schutzschicht umgangen, stehen dahinterliegende, eigentlich abgesicherte Ressourcen unbefugt offen.