Spring Security, versões 4.2.x até 4.2.12, e versões mais antigas não suportadas suportam senhas de texto simples usando PlaintextPasswordEncoder. Se um aplicativo que usa uma versão afetada do Spring Security estiver aproveitando PlaintextPasswordEncoder e um usuário tiver uma senha codificada nula, um usuário mal-intencionado (ou atacante) poderá autenticar usando uma senha “nula”.