A correção para o SECURITY-499 introduziu um mecanismo que renomeou os diretórios do usuário no disco, pois um usuário com um nome de usuário não seguro (ID do usuário) é carregado. A validação de entrada insuficiente permitiu que os atacantes renomeiem esses diretórios de usuário, mesmo para usuários com um nome de usuário seguro, enviando um nome de usuário trabalhado ao tentar efetuar login, mesmo com uma senha inválida. Isso impediu que os usuários fizessem login com sucesso depois.