Per sfruttare con successo la vulnerabilità, l'aggressore deve essere in grado di controllare il contenuto e il nome del file sul server (ad esempio, se l'applicazione ha la capacità di scaricare documenti o immagini). Inoltre, l'attacco è possibile solo su sistemi che utilizzano PersistenceManager con archivio FileStore, nelle cui impostazioni il parametro sessionAttributeValueClassNameFilter è impostato su "null" (per impostazione predefinita, se SecurityManager non viene utilizzato) o è selezionato un filtro debole che consente all'oggetto deserializzazione. L'aggressore deve anche conoscere o indovinare il percorso del file che controlla, relativo alla posizione del FileStore.
Fonte: opennet.ru