自身が発行したものでないSession IDを受け入れてセッションが初期化されてしまうという脆弱性。

任意のセッションIDをURLに付与する攻撃やinput要素として任意のセッションIDを埋め込んだフォームからPOSTさせる攻撃