No es una vulnerabilidad.
Por defecto la directiva
DirectoryIndex devuelve el archivo index.html cuando se hace una petición y no se especifica ningún archivo. Pero cuando el archivo index.html no existe en el directorio, entonce por defecto lista todos los archivos y carpetas que se encuentran en dicho directorio.
Claro me refiero a Apache porque la descripción que haz dado, es a un servidor que esta corriendo con Apache.
Saludos.