Per explotar amb èxit la vulnerabilitat, l'atacant ha de ser capaç de controlar el contingut i el nom del fitxer al servidor (per exemple, si l'aplicació té la capacitat de descarregar documents o imatges). A més, l'atac només és possible en sistemes que utilitzen PersistenceManager amb l'emmagatzematge de FileStore, en la configuració dels quals el paràmetre sessionAttributeValueClassNameFilter s'estableix a "nul" (per defecte, si no s'utilitza SecurityManager) o es selecciona un filtre feble que permet l'objecte deserialització. L'atacant també ha de conèixer o endevinar el camí al fitxer que controla, en relació amb la ubicació del FileStore.
Font: opennet.ru