Insecure Direct Object Reference – greife auf fremde Datensätze zu.
Probiere order_id=3, order_id=4, order_id=5... Es gibt insgesamt 5 Bestellungen von verschiedenen Nutzern. Bestellung #5 enthält die FLAG.