Du setzt einen HTTP/2-Webserver auf, für www.evil.com. Du trägst deine IPv4-Adresse ein und die IPv6-Adresse von meinem Blog.
Jemand ohne IPv6 klickt mit seinem Firefox zu www.evil.com. Firefox hält die TCP-Verbindung noch ein bisschen offen.
Derjenige klickt dann zu meinem Blog. Firefox sieht jetzt, dass die IPv6-Adresse gleich ist, und schickt den Request über die noch offene HTTP/2-Verbindung zu www.evil.com.
www.evil.com kann natürlich kein TLS-Zertifikat für mein Blog vorweisen, insofern argumentiert Mozilla jetzt, das sei gar kein Bug.