Die von Apache Commons Compress und Apache Ant intern verwendeten Sortier-Algorithmen haben eine sehr schlechte Worst-Case Performance: Bei bestimmten Eingaben dauert das Sortieren unverhältnismäßig lange.
Die Performance ist sogar so schlecht, dass ein entfernter Angreifer dies ausnutzen kann, um Denial-of-Server-Attacken durchzuführen, indem er die CPU dauerhaft mit dem Sortieren von Daten beschäftigt. Die Attacke ist mit speziellen Bzip2-Anfragen möglich.
Betroffen sind die Versionen 1.0 bis 1.4.

