L'article explique l'attaque d'extension de hash:
Si vous utilisez hash(secret+donnée) pour signer une donnée (pour l'authentifier), un pirate est capable d'ajouter des données et d'obtenir une signature valide même sans connaître le secret. Dit autrement: hash(secret+donnée+ajouté) sera accepté par votre serveur, même si le pirate ne connaît pas le secret.
Voilà pourquoi, pour signer des données, il ne faut pas bricoler ça vous-même: Utilisez HMAC.

Les sources de son attaque sont sur GitHub: https://github.com/iagox86/hash_extender