Antes de mais nada, você deve saber que está executando uma versão obsoleta do ModSecurity (ramificação 1.x). Se você estiver executando o Apache 2.0.x, você deve atualizar para o ModSecurity 2.x. Se você ainda estiver executando o Apache 1.3.x, então eu tenho medo que você não tenha escolha, já que o ModSecurity 2.x não funcionará com ele. O ModSecurity 1.x em si não é conhecido por ser vulnerável, mas seu mecanismo de regras é muito inflexível para as demandas de hoje.
Se bem me lembro, o ModSecurity 1.x exigia solicitações POST para especificar o comprimento do conteúdo simplesmente porque ele não suportava corpos de solicitação em partes (a forma alternativa de enviar corpos de solicitação, em que o comprimento total não é conhecido até o final) . Organismos com pedidos em pedaços eram incrivelmente raros (estamos falando de 2003, 2004) e ainda são raros (embora alguns dispositivos móveis estejam usando-os).
Não há tais restrições no ModSecurity 2.x.
Se você remover essa regra, criará um grande buraco através do qual alguém poderia se esgueirar em um ataque não detectado. Por outro lado, posso argumentar que, com você executando o ModSecurity 1.x, existem outras maneiras de fazer o mesmo. Como alternativa, ajuste a regra para recusar solicitações que tenham o conjunto de cabeçalhos de solicitação Transfer-Encoding. Você deveria estar seguro com isso.
Divulgação: escrevi o ModSecurity.