这篇看到了这个:

漏洞总结
   Apache Solr的Config API是自带功能,用于通过HTTP请求更改配置;当Solr未设置访问鉴权时,可以直接通过ConfigAPI更改配置,为漏洞利用创造了前提。

是2019-11-09我写的 漏洞分析 - Apache Solr 模版注入漏洞(RCE) 中的原话吧