K úspěšnému zneužití této chyby zabezpečení musí být útočník schopen ovládat obsah a název souboru na serveru (například pokud má aplikace možnost stahovat dokumenty nebo obrázky). Útok je navíc možný pouze na systémech, které používají PersistenceManager s úložištěm FileStore, v jehož nastavení je parametr sessionAttributeValueClassNameFilter nastaven na hodnotu „null“ (ve výchozím nastavení, pokud není použit SecurityManager) nebo je vybrán slabý filtr umožňující objekt deserializace. Útočník musí také znát nebo uhodnout cestu k souboru, který ovládá, vzhledem k umístění FileStore.
Zdroj: opennet.ru