No Administrador do servidor, em Segurança > Acesso > Ambiente CFML, defina o Acesso a arquivos como 'local' para que cada contexto da Web possa acessar apenas arquivos dentro de sua própria raiz da Web.
O padrão é 'all' para permitir aplicativos que acessam arquivos por meio de mapeamentos que estão fora da raiz da web, o que é bastante comum para aplicativos CFML.