Agar berhasil mengeksploitasi kerentanan, penyerang harus dapat mengontrol konten dan nama file di server (misalnya, jika aplikasi memiliki kemampuan untuk mendownload dokumen atau gambar). Selain itu, serangan hanya mungkin terjadi pada sistem yang menggunakan PersistenceManager dengan penyimpanan FileStore, dalam pengaturan di mana parameter sessionAttributeValueClassNameFilter diatur ke "null" (secara default, jika SecurityManager tidak digunakan) atau filter lemah dipilih yang memungkinkan objek deserialisasi. Penyerang juga harus mengetahui atau menebak jalur ke file yang dikontrolnya, relatif terhadap lokasi FileStore.
Sumber: opennet.ru