Die Schwachstelle betrifft Apache Tomcat, einen weit verbreiteten Webserver und Container für Java-Webanwendungen. Sie liegt in der Zugriffskontrolle (Autorisierung) und tritt dann auf, wenn in der Konfiguration mehrere Methoden-Einschränkungen (method constraints) für dieselbe Dateiendung (Extension) jeweils eine HTTP-Methode festlegen. In dieser Konstellation werden die Sicherheitsregeln nicht korrekt angewendet: Die Zuordnung der zulässigen HTTP-Methoden zu den geschützten Ressourcen greift fehlerhaft, sodass eine eigentlich abgesicherte Ressource nicht im vorgesehenen Umfang geschützt ist. Dadurch kann ein Angreifer Sicherheitsbeschränkungen umgehen und auf Inhalte oder Funktionen zugreifen, die ihm laut Konfiguration verwehrt bleiben sollten. Betroffen sind Installationen, deren Sicherheitskonfiguration mehrere solcher Methoden-Einschränkungen für dieselbe Endung definiert.