Úgy van, jól mondod.
Spéci header-t küldve csapja be, mert olyan sorokat tud előállítani ami felülbírálja a hash-t amit a program is készít később, de az első sor (ami a hamis) "nyer".
Továbbra is az ubuntu-s bugreport az ami használhatóan leírja, hogy miről van szó. (nem linkelem megegyszer)
(aki elolvasta és megérette a fentieket, az azt is fogja tudni, hogy a http miért csak részben védene a fenti támadás ellen :)