Til að hagnýta sér veikleikann verður árásarmaðurinn að geta stjórnað innihaldi og nafni skráar á þjóninum (til dæmis ef forritið hefur getu til að hlaða niður skjölum eða myndum). Að auki er árásin aðeins möguleg á kerfum sem nota PersistenceManager með FileStore geymslu, þar sem sessionAttributeValueClassNameFilter færibreytan er stillt á „null“ (sjálfgefið, ef SecurityManager er ekki notað) eða veik sía er valin sem leyfir hlut deserialization. Árásarmaðurinn verður líka að vita eða giska á slóðina að skránni sem hann stjórnar, miðað við staðsetningu FileStore.
Heimild: opennet.ru