Это не уязвимость (и мне действительно не нравится AppScan из-за его ложных срабатываний - количество раз, когда мне приходилось объяснять, что файлы cookie CSRF не нужно связывать с сеансом в моем маленьком проекте с открытым исходным кодом, надоедает).
Все, что произойдет в этом случае, - это когда в первый раз что-либо сохраняется в состоянии сеанса с созданным идентификатором сеанса, новый сеанс будет открыт на сервере, в котором ничего нет. Если вас беспокоит фиксация сессии, вы можете очистить куки после аутентификации.
Session.Abandon();
Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));
Но при аутентификации по формам детали аутентификации не сохраняются в сеансе, поэтому фиксация вообще не является проблемой.
Честно говоря, если вы должны пройти проверку безопасности, чтобы никто не оценивал, не являются ли результаты ложными срабатываниями, тогда это совсем другая проблема.