Esse aviso é bobo e beira o absurdo. Você pode me citar sobre isso. Os CVEs dados não têm absolutamente nenhuma relevância para a situação descrita pelo aviso, e o que mais indica para mim é a strong possibilidade de o fornecedor ser incompetente. Você pode me citar sobre isso também.
De qualquer forma, o "problema" é que sua configuração nginx adiciona explicitamente um cabeçalho aparentemente desnecessário que fornece uma quantidade pequena (e quase inútil, a menos que você depure o servidor) de informações sobre sua configuração de proxy reverso, fastcgi ou caching . Se você procurar suas configurações do nginx, você irá encontrá-lo:
add_header X-Cache "HIT from Backend";
Remover isso deve corrigir o "problema".
Também é uma boa idéia não copiar a configuração do servidor cegamente da Internet sem saber exatamente o que ela faz; esse bit em particular tem sido amplamente copiado com absolutamente nenhuma explicação de seu propósito que eu possa encontrar.
Você também pode informar ao fornecedor que ele precisa corrigir esse teste, pois está gerando falsos positivos.