Ad vulnerabilitatem feliciter abutendum, oppugnator contentus esse potest ac nomen tabellae in servo regere (exempli gratia, si applicationis facultas documentorum vel imaginum emissi est). Praeterea, impetus tantum fieri potest in systematibus qui utuntur PersistenteManager cum Repositione FileStore, in quorum fundis sessionAttributeValueClassNameFilter parametri "nulla" (per defaltam, si SecurityManager usus est) vel colum debile seligitur, quod objectum admittit. deserialization. Percussor scire vel suspicari debet viam ad tabellam quam habet, ad locum FileStore pertinentem.
Source: opennet.ru