「X-Original-URL」および「X-Rewrite-URL」に関連する脆弱性

私は Burpsuite Academy Access Controlのトレーニング を行っていますが、まだ完全に理解していないセクションに遭遇しました。彼らの読書では、彼らは説明します：

一部のアプリケーションフレームワークは、X-Original-URLやX-Rewrite-URLなど、元のリクエストのURLを上書きするために使用できるさまざまな非標準のHTTPヘッダーをサポートしています。 Webサイトが厳格なフロントエンドコントロールを使用してURLに基​​づいてアクセスを制限しているが、アプリケーションがリクエストヘッダーを介してURLをオーバーライドできる場合、次のようなリクエストを使用してアクセスコントロールをバイパスできる可能性があります。

POST / HTTP/1.1 X-Original-URL: /admin/deleteUser

次のラボでは、ヘッダーを変更してGETリクエストを「/」に設定し、X-Original-URL: /adminを新しい行として追加することで、制限された/ adminページにアクセスできるようにHTTPリクエストを変更できます。

これらの2つのヘッダーのいずれについてもドキュメントが見つかりません。彼らは何をしますか？そしてなぜこの脆弱性は機能するのですか？これはニッチなエクスプロイトですか、それとも多くのサーバーに存在する可能性があるものですか？