Pour comprendre de quoi il retourne, vous avez le choix des armes. Vous pouvez vous plonger dans le code. C'est du Python, ce n'est pas très long, et vous devriez rapidement vous étonner de ce que les requêtes HTTP soient réalisées avec une méthode POTATO. Sic.
Vous pouvez également vous intéresser aux liens fournis en référence, dont le plus pertinent pointe sur les problèmes liés à l'usage de la directive <Limit> qui semble donc être la fameuse faiblesse dans l'écriture d'un .htaccess.
Enfin, vous pouvez lancer l'outil sur un serveur Apache et en regarder les logs pour y voir des choses de ce genre :

192.168.5.11 - - [03/Aug/2012:15:32:53 +0200] "POTATO /path/wp-settings.php HTTP/1.1" 404 226 "-" "Python-urllib/2.7"
192.168.5.11 - - [03/Aug/2012:15:32:53 +0200] "POTATO /path/wp-signup.php HTTP/1.1" 404 224 "-" "Python-urllib/2.7"
192.168.5.11 - - [03/Aug/2012:15:32:53 +0200] "POTATO /path/wp-trackback.php HTTP/1.1" 404 227 "-" "Python-urllib/2.7"
192.168.5.11 - - [03/Aug/2012:15:32:53 +0200] "POTATO /path/write.php HTTP/1.1" 404 220 "-" "Python-urllib/2.7"

Et là, si vous avez un tant soit peu de bouteille, vous voyez directement où l'outil veut en venir : exploiter la faille de configuration Apache sus-citée, vieille comme le monde[1] et passablement connue. Une simple recherche vous fournira pléthore de liens expliquant le problème, et comment y remédier[2].
Pour s'acquitter de sa tâche, l'outil lance donc une série de requêtes avec une méthode qui n'est ni GET ni POST[3] à destination d'une URL de base spécifiée en ligne de commande, en la complétant avec une liste de nom de fichiers couramment utilisés dans les applications web populaires. Ce qui ne manquera pas de rappeler le fonctionnement de certains outils, typiquement Nikto, qui aurait tout aussi bien pu être patché à l'occasion.

Tout ça pour dire quoi ? Et bien autant je comprends que les auteurs aient pu avoir envie d'écrire un tel outil[4], comme pleins de gens l'ont fait avant eux, et de le publier. En revanche, que ça justifie un talk de vingt minutes à BlackHat en 2012, là par contre, j'ai plus de mal...

Notes

[1] Le document cité plus haut sur l'utilisation de <Limit> date de 1997...

[2] Pour faire rapide, il suffit de ne pas utiliser la directive <Limit>...

[3] POTATO en l'occurence.

[4] Quand bien même des outils existants implémentent la détection de ce problème.