La amenaza más grave que puede hacer un atacante con TRACE es acceder a la propiedad document.cookie en Para secuestrar la sesión de la víctima. TRACE no funcionará en ningún navegador (por suerte).
Para el caso que describió, depende de las capas de seguridad implementadas en el servidor contra el que lo ejecuta el atacante y la pregunta, como se le pregunta, es demasiado amplia para responder exactamente. Pero tenga en cuenta que el atacante obtendrá información sobre cómo responde el servidor a una solicitud determinada.
Por curiosidad, ejecuta esto en la Terminal ( 216.58.209.100 = www.google.com
):
curl -X TRACE 216.58.209.100
Recibirá este mensaje de error:
Error 405 (Method Not Allowed)!!1