So wie ich das sehe wird in einer Schleife der String zusammengesetzt vom Parameter upwd. Und nach jedem Zeichen wird geprüft, ob das Password stimmt. Irgendwann gibt es eine Übereinstimmung und die restlichen Zeichen des gesendeten Passwords werden nicht mehr berücksichtigt. Erst muss der gesamte String zusammen sein, von upwd. Dann erst darf geprüft werden.

Hier sieht man das:

Code:
strupwd     >>><<<
website_upwd>>>yy<<<
y
strupwd     >>>y<<<
website_upwd>>>yy<<<
y
strupwd     >>>yy<<<
website_upwd>>>yy<<<
GET /?uname=&upwd=yy11111111111111 HTTP/1.1