请求ConcatServlet并且WelcomeFilter能够访问WEB-INF目录中的受保护资源。例如，对ConcatServlet具有 URI 的请求/concat?/%2557EB-INF/web.xml可以检索 web.xml 文件。这可能会泄露有关 Web 应用程序实现的敏感信息。 发生这种情况是因为ConcatServlet和WelcomeFilter对提供的路径进行解码以验证它不在WEB-INF或META-INF目录中。然后它使用这个解码的路径来调用RequestDispatcher它也会对路径进行解码。这种双重解码允许具有双重编码的路径WEB-INF绕过此安全检查。

升级版本，该漏洞在9.4.41、10.0.3、11.0.3修复。