Kako bi uspješno iskoristio ranjivost, napadač mora moći kontrolirati sadržaj i naziv datoteke na poslužitelju (na primjer, ako aplikacija ima mogućnost preuzimanja dokumenata ili slika). Osim toga, napad je moguć samo na sustavima koji koriste PersistenceManager s FileStore pohranom, u čijim je postavkama parametar sessionAttributeValueClassNameFilter postavljen na “null” (prema zadanim postavkama, ako se SecurityManager ne koristi) ili je odabran slab filter koji dopušta objektu deserijalizacija. Napadač također mora znati ili pogoditi put do datoteke koju kontrolira, u odnosu na lokaciju FileStorea.
Izvor: opennet.ru