Alexander Klink a Julian Wälde publikovali princip DoS útoku na webové aplikace. Zasaženy jsou i Java aplikace běžící na serverech Tomcat, Glassfish a zřejmě i řadě jiných.

Útok spočivá v tom, že vstupní parametry (POST/GET) jsou z běhového prostředí aplikaci předávány ve formě hashmapy. Vhodně zvolenýmy názvy parametrů (=klíče mapy) může útočnik způsobit kolize a operace s mapou(get()) budou mít lineární složitost namísto obvyklé složitosti konstantní. Podle autorů stačí útočnikovi datový tok 6kbit/s, aby Tomcat plně vytížil jedno jádro procesoru i7. 

Zranitelná je nejen Java, ale i většina ostatních jazyků a frameworků. Na https://github.com/koto/blog-kotowicz-net-examples/tree/master/hashcollision je ukázka aplikace, která demonstruje útok proti PHP.

Útok lze teoreticky z webových aplikací rozšířit na všechny případy, kde se uživatelská data vkládají do hashmapy a kde uživatel může ovlivnit tvorbu klíčů.

Tomcat ve verzi 7.0.23 přidává parametr, kterým je možné omezit maximální počet parametrů jednoho požadavku. Dalši řesení může spočívat v použití kryptografické hash funkce pro tvorbu klíče (je potom težší naleznout kolize) nebo zavedení náhodně generovaného parametru pro tvorbu klíčů (používá Perl)