To není specifikum jen HTTP/2.
Známý je HTTP POST Attack, přesto pořád vznikají nové technologie, které do POST hlaviček cpou víc a víc dat, takže se admin webserveru nemá jak bránit.
Bezpečnost není povětšinou pořád přijímána jako komplexní obor, který má zpětnou vazbu jak na byznys požadavky, tak na programátory. V realitě si zadavatel (byznys) myslí, že mu programátor nemá co radit do jeho nápadu. A programátor si zase myslí, že mu admin nemá co mluvit do technického řešení.