Die Schwachstelle betrifft Starlette, ein leichtgewichtiges ASGI-Framework und Toolkit zum Aufbau von Web-Anwendungen. Der Fehler liegt darin, dass der HTTP-Host-Header der Anfrage nicht überprüft wurde, bevor er zum Wiederaufbau von request.url herangezogen wird. Während der Routing-Mechanismus den rohen HTTP-Pfad verwendet, wird request.url aus dem Host-Header neu zusammengesetzt. Ein manipulierter, fehlerhaft aufgebauter Header kann daher dazu führen, dass der in request.url.path abgebildete Pfad von dem tatsächlich angefragten Pfad abweicht. Dadurch lassen sich Sicherheitsprüfungen umgehen: Middleware und Endpunkte, die ihre Zugriffsbeschränkungen anhand von request.url statt anhand des rohen Pfads aus dem scope durchsetzen, können ausgehebelt werden – ein Angreifer erreicht so geschützte Bereiche, die eigentlich gesperrt sein sollten. In neueren Versionen wird der Host-Header beim Aufbau von request.url gegen die festgelegte Syntax geprüft und bei fehlerhaften Werten auf den Wert aus scope["server"] zurückgegriffen.