Die Schwachstelle betrifft das NGINX-JavaScript-Modul, mit dem sich der Webserver NGINX um eigene JavaScript-Logik erweitern lässt. Sie tritt auf, wenn die Direktive js_fetch_proxy mit mindestens einer durch den Client beeinflussbaren NGINX-Variable konfiguriert ist – also etwa mit Werten, die direkt aus dem HTTP-Header, einem Anfrageparameter oder einem Cookie stammen – und gleichzeitig an dieser Stelle die Fetch-Operation des JavaScript-Moduls aufgerufen wird. Ein Angreifer kann den manipulierbaren Anteil der Anfrage gezielt präparieren und so einen Heap-Pufferüberlauf im NGINX-Worker-Prozess auslösen. Ausnutzbar ist das aus der Ferne und ohne vorherige Anmeldung, allein durch das Senden entsprechend gestalteter HTTP-Anfragen. In der Folge stürzt der betroffene Worker-Prozess ab und startet neu, was den Dienst stört. Unter Umständen geht der Schaden darüber hinaus: Ist der Speicherschutz ASLR deaktiviert oder kann der Angreifer ihn umgehen, lässt sich der Überlauf auch zur Ausführung von eigenem Code missbrauchen.