برای بهره برداری موفقیت آمیز از آسیب پذیری، مهاجم باید بتواند محتوا و نام فایل روی سرور را کنترل کند (مثلاً اگر برنامه توانایی دانلود اسناد یا تصاویر را داشته باشد). علاوه بر این، حمله فقط بر روی سیستمهایی امکانپذیر است که از PersistenceManager با ذخیرهسازی FileStore استفاده میکنند، که در تنظیمات آن پارامتر sessionAttributeValueClassNameFilter روی «null» تنظیم شده است (به طور پیشفرض، اگر از SecurityManager استفاده نمیشود) یا یک فیلتر ضعیف انتخاب شده است که به شی اجازه میدهد. سریال زدایی مهاجم همچنین باید مسیر فایلی را که کنترل میکند، نسبت به مکان FileStore، بداند یا حدس بزند.
منبع: opennet.ru