Сервлет "org.apache.catalina.servlets.DefaultServlet" включен в Apache Tomcat по умолчанию. Удаленный атакующий может использовать этот сервлет для просмотра содержания произвольных файлов в пределах WWWROOT, в т.ч. и .jsp файлов, которые могут содержать чувствительные данные, типа имен пользователей базы данных и паролей. Пример:
http://target/admin/servlet/ org.apache.catalina.servlets.DefaultServlet/target.jsp
Уязвимость обнаружена в Apache Software Foundation Tomcat 3.0-4.1.10.