Die Schwachstelle betrifft den Apache HTTP Server, einen der weitverbreitetsten Webserver. Sie sitzt im Modul mod_http, das die Verarbeitung von HTTP-Anfragen übernimmt. Der Fehler liegt darin, dass der Server bei der Bearbeitung einer Anfrage Speicher anhand einer übermäßig großen Größenangabe reserviert. Ein Angreifer kann das gezielt missbrauchen, indem er präparierte, bösartige HTTP-Anfragen sendet: Diese veranlassen den Server, unverhältnismäßig viel Arbeitsspeicher anzufordern. Dadurch lässt sich eine Dienstverweigerung (Denial of Service) auslösen – der Webserver wird überlastet und kann reguläre Anfragen nicht mehr beantworten oder bricht ab. Der Angriff erfolgt über das Netzwerk allein durch das Versenden manipulierter Anfragen und erfordert keine Anmeldung am Server. Betroffen sind Installationen des Apache HTTP Server in einem zusammenhängenden Bereich älterer Versionen, sodass öffentlich erreichbare Webserver gezielt lahmgelegt werden können.