Holla,
da hat jemand bei Mono groben Mist gebaut:
Siehe:
Kurz gesagt erlaubt es ein Bug in der Mono-Implementierung, dass bei ASP.NET Webseiten das Anhängen eines Leerzeichens an die
URL (z.B.
http://server/app/Default.aspx%20 ) dazu führt, dass Mono die Datei nicht Ausführt sondern einfach durchreicht - und damit den Quellcode der Datei an den Angreifer schickt.
Man sollte sein produktives Mono also schleunigst patchen.