Die Schwachstelle steckt im Rewrite-Modul von NGINX Plus und NGINX Open Source – also in der Funktion, mit der NGINX eingehende Anfrage-Adressen anhand von Mustern umschreibt. Sie tritt auf, wenn eine Rewrite-Regel ein Suchmuster mit mehreren eigenständigen, sich überlappenden Klammer-Erfassungen verwendet und der Ersetzungstext gleich mehrere dieser erfassten Teile zusammenzieht, sofern dies in einer Weiterleitung oder im Argument-Kontext geschieht. Ein nicht angemeldeter Angreifer kann den Fehler aus der Ferne mit gezielt präparierten HTTP-Anfragen auslösen, allerdings müssen dafür zusätzliche, nicht von ihm selbst beeinflussbare Bedingungen erfüllt sein. Gelingt der Angriff, kommt es zu einem Speicherüberlauf im Arbeitsprozess von NGINX, der daraufhin neu startet – der Dienst fällt also kurzzeitig aus. Auf Systemen, bei denen die Speicherverwürfelung (ASLR) abgeschaltet ist oder vom Angreifer umgangen werden kann, lässt sich der Fehler darüber hinaus zur Ausführung von eigenem Code missbrauchen.