Это происходит из-за того, что веб-приложение не проверяет права доступа или принадлежность объектов (например, заказов, учётных записей, файлов и т.д.), к которым обращается пользователь через параметры HTTP (например, id, uid, pid и т.д.).
Злоумышленник может изменить эти параметры и получить доступ к чужим объектам, которые могут содержать конфиденциальную информацию или функции.