Para explotar con éxito a vulnerabilidade, o atacante debe ser capaz de controlar o contido e o nome do ficheiro no servidor (por exemplo, se a aplicación ten a capacidade de descargar documentos ou imaxes). Ademais, o ataque só é posible en sistemas que usan PersistenceManager con almacenamento FileStore, na configuración dos cales o parámetro sessionAttributeValueClassNameFilter está definido como "nulo" (por defecto, se non se utiliza SecurityManager) ou se selecciona un filtro débil que permite o obxecto deserialización. O atacante tamén debe saber ou adiviñar o camiño ao ficheiro que controla, en relación coa localización do FileStore.
Fonte: opennet.ru