Om de kwetsberens mei súkses te eksploitearjen, moat de oanfaller de ynhâld en namme fan it bestân op 'e tsjinner kinne kontrolearje (bygelyks as de applikaasje de mooglikheid hat om dokuminten of ôfbyldings te downloaden). Derneist is de oanfal allinich mooglik op systemen dy't PersistenceManager brûke mei FileStore-opslach, yn 'e ynstellings wêrfan de parameter sessionAttributeValueClassNameFilter is ynsteld op "null" (standert, as SecurityManager net brûkt wurdt) of in swak filter is selektearre dat it objekt mooglik makket deserialization. De oanfaller moat ek witte of riede it paad nei it bestân dat hy kontrolearret, relatyf oan de lokaasje fan de FileStore.
Boarne: opennet.ru