Para solucionar obtenga el token para la petición ajax y agregue este al headers. Ejemplo:
<script> var csrfToken = <?= json_encode($this->request->getParam('_csrfToken')) ?>; $.ajax({ headers: { 'X-CSRF-Token': csrfToken }, // ... }); </script>
Fuente: https://stackoverflow.com/questions/51916680/csrf-token-mismatch-in-post-request-in-3-6-version