Kad galėtų sėkmingai išnaudoti pažeidžiamumą, užpuolikas turi turėti galimybę valdyti serveryje esančio failo turinį ir pavadinimą (pavyzdžiui, jei programa turi galimybę atsisiųsti dokumentus ar vaizdus). Be to, ataka galima tik sistemose, kurios naudoja PersistenceManager su FileStore saugykla, kurių nustatymuose parametras sessionAttributeValueClassNameFilter nustatytas į „null“ (pagal numatytuosius nustatymus, jei SecurityManager nenaudojamas) arba pasirinktas silpnas filtras, leidžiantis objektą. deserializacija. Užpuolikas taip pat turi žinoti arba atspėti kelią į jo valdomą failą, atsižvelgiant į „FileStore“ vietą.
Šaltinis: opennet.ru