Todas as linhas de lançamento ativamente suportadas são vulneráveis e a gravidade é BAIXA. Um atacante pode causar uma negação de serviço (DoS) estabelecendo uma conexão HTTP ou HTTPS no modo keep-alive e enviando cabeçalhos muito lentamente, mantendo a conexão e os recursos associados ativos por um longo período de tempo. O potencial de ataque é mitigado pelo uso de um balanceador de carga ou outra camada de proxy. Esta vulnerabilidade é uma extensão do CVE-2018-12121, tratada em novembro de 2018. O tempo limite de 40 segundos e seu ajuste por server.headersTimeout aplicam-se a essa correção como no CVE-2018-12121.