Ok, acabei de descobrir que o problema está dentro do aplicativo subjacente e não no Apache HTTPd.
Na primeira solicitação para entregar o ErrorDocument, ele faz algum processamento, o que não é feito em solicitações subseqüentes.
Configuramos o Apache HTTPd para usar
Agora, o usuário obtém resultados diferentes ao cancelar a autenticação na primeira etapa ou depois de enviar credenciais erradas.
Exemplo
O usuário chama o seguinte URL: "example.com/pageXYZ
Comportamento esperado
Comportamento errado (?)
Alguém conhece esse comportamento ou pode dizer, por que é assim e se é possível obter o comportamento esperado em ambos os cenários.