Om die kwesbaarheid suksesvol te ontgin, moet die aanvaller die inhoud en naam van die lêer op die bediener kan beheer (byvoorbeeld as die toepassing die vermoë het om dokumente of beelde af te laai). Boonop is die aanval slegs moontlik op stelsels wat PersistenceManager met FileStore-berging gebruik, in die instellings waarvan die sessionAttributeValueClassNameFilter-parameter op "nul" gestel is (by verstek, as SecurityManager nie gebruik word nie) of 'n swak filter gekies word wat objek toelaat deserialisering. Die aanvaller moet ook die pad na die lêer wat hy beheer ken of raai, relatief tot die ligging van die FileStore.
Bron: opennet.ru