URLやパラメータのID(例 /invoice/1001)を書き換えるだけで、本来権限のない他人のデータを閲覧・操作できてしまう脆弱性です。アクセス制御の不備の代表例です。
他者の個人情報・注文・書類などへ容易にアクセスされ、大規模な情報漏洩につながります。発見・悪用が容易で被害が広がりやすい問題です。
データ参照のたびに「そのデータが本人のものか」をサーバ側で必ず検証しているかを確認します。
URLを入れるだけ。登録不要で、外から見える弱点をその場でスコア表示します。