Για να εκμεταλλευτεί επιτυχώς την ευπάθεια, ο εισβολέας πρέπει να μπορεί να ελέγχει το περιεχόμενο και το όνομα του αρχείου στον διακομιστή (για παράδειγμα, εάν η εφαρμογή έχει τη δυνατότητα λήψης εγγράφων ή εικόνων). Επιπλέον, η επίθεση είναι δυνατή μόνο σε συστήματα που χρησιμοποιούν το PersistenceManager με χώρο αποθήκευσης FileStore, στις ρυθμίσεις των οποίων η παράμετρος sessionAttributeValueClassNameFilter έχει οριστεί σε "null" (από προεπιλογή, εάν δεν χρησιμοποιείται SecurityManager) ή έχει επιλεγεί ένα αδύναμο φίλτρο που επιτρέπει το αντικείμενο αποσειροποίηση. Ο εισβολέας πρέπει επίσης να γνωρίζει ή να μαντέψει τη διαδρομή προς το αρχείο που ελέγχει, σε σχέση με τη θέση του FileStore.
Πηγή: opennet.ru