Această problemă și cazul specific în care apare este o problemă atât în Tomcat, cât și în JBoss. Tomcat împărtășește efectul emptySessionPath = "adevărat" (și, de fapt, JBoss o moștenește de la Tomcat).
Acest lucru pare a fi un bug în Tomcat și JBoss atunci când încercați să preveniți atacurile de fixare a sesiunii, dar servletul spec (cel puțin versiunea 2.3) nu necesită de fapt ca JSESSIONID să fie definit sau redefinit în funcție de orice logică specifică. Poate că acest lucru a fost curățat în versiunile ulterioare.