Různé implementace protokolu HTTP/2 obsahují nově objevené zranitelnosti, které mohou vést k DoS útokům. Postižena jsou přitom řešení většiny populárních tvůrců webových serverů včetně Apache, Microsoft IIS a NGINX.
Sedm z nových zranitelností objevil Jonathan Looney z Netflixu, jednu pak Piotr Sikora z Googlu. Využívají vyčerpání zdrojů při zpracování škodlivého vstupu, což umožňuje klientovi přetížit frontu daného serveru. Zlý klient si jednoduše vyžádá po serveru činnost vyžadující odezvu a pak tuto odezvu odmítne převzít, čímž na serveru zvýší využití CPU a RAM. A pak už je vše jen otázkou množství takových požadavků.
