Pour réussir à exploiter la vulnérabilité, l'attaquant doit être capable de contrôler le contenu et le nom du fichier sur le serveur (par exemple, si l'application a la possibilité de télécharger des documents ou des images). De plus, l'attaque n'est possible que sur les systèmes qui utilisent PersistenceManager avec le stockage FileStore, dans les paramètres desquels le paramètre sessionAttributeValueClassNameFilter est défini sur « null » (par défaut, si SecurityManager n'est pas utilisé) ou un filtre faible est sélectionné qui permet aux objets désérialisation. L'attaquant doit également connaître ou deviner le chemin d'accès au fichier qu'il contrôle, par rapport à l'emplacement du FileStore.
Source: opennet.ru