Para solucionar obtenga el token para la petición ajax y agregue este al headers. Ejemplo:
<script>
var csrfToken = <?= json_encode($this->request->getParam('_csrfToken')) ?>;
$.ajax({
headers: {
'X-CSRF-Token': csrfToken
},
// ...
});
</script>
Fuente: https://stackoverflow.com/questions/51916680/csrf-token-mismatch-in-post-request-in-3-6-version