Pochybuju, že na to bude webový scanner – musel by zkoušet zaútočit na web, který mu zadá uživatel, a k něčemu takovému nikdo soudný svůj webserver nepropůjčí.
Nevypadá to, že by byl nějaký veřejně známý PoC nebo exploit. Řešením by mohlo být ukázat, že máte konfiguraci, která nespadá do postižených konfigurací vyjmenovaných na stránce CVE.
A hlavně bych se ptal zákazníka, proč si myslí, že tam ta zranitelnost je.