“JVN”の脆弱性レポート（JVNVU#90416738）によると、「Apache Tomcat」の旧バージョンには、補助文字の取り扱い不備によりUTF-8デコーダーが無限ループに陥る（CVE-2018-1336）、NIO/NIO2におけるコネクションの管理不備（CVE-2018-8037）、WebSocketクライアントのTLS接続においてホスト名が検証されない（CVE-2018-8034）などの欠陥が存在する。