На данном сервисе присутствует уязвимость "HTTP request smuggling". При подстановке в заголовок Transfer-Encoding спец. символа, который не будет обработан HAProxy (например \x0c), но будет обработан Gunicorn сервером, произойдет рассинхронизация, что позволит вставить в чужой запрос свои строки.