情報源：
脆弱性関連情報取扱い：脆弱性関連情報の調査結果：IPA 独立行政法人 情報処理推進機構

抜粋：
「Tomcat」4.x の AJP 1.3 Connector には、AJP 1.3 リクエストを受け取った際の内容確認が不十分な問題があります。このため、ウェブサーバから不正な AJP 1.3 リクエストを受け取ると、リクエスト情報バッファに直前の情報が残ったままサーブレットが呼び出される可能性があります。

んで気になる点が。

情報源：
アプリケーション・サーバー「Tomcat 4.x」にセキュリティ・ホール | 日経 xTECH（クロステック）

抜粋：
対策は，セキュリティ・ホールを解消したTomcat 5.xにアップグレードすること。JVNでは，「The Apache Software Foundation では，Tomcat 4.x を 5.x へアップグレードすることを推奨しており，本脆弱性を修正するパッチが提供されるかは不明」としている。

「今後Tomcat4でバグが出ても対処しないかもしれないから、Tomcat5へのアップグレードしなさい」って点が気になる。現在Tomcat4で動いているシステムは、段階的にTomcat5に上げる必要がありそうだ。