Untuk berjaya mengeksploitasi kelemahan, penyerang mesti dapat mengawal kandungan dan nama fail pada pelayan (contohnya, jika aplikasi mempunyai keupayaan untuk memuat turun dokumen atau imej). Di samping itu, serangan hanya boleh dilakukan pada sistem yang menggunakan PersistenceManager dengan storan FileStore, dalam tetapan yang parameter sessionAttributeValueClassNameFilter ditetapkan kepada "null" (secara lalai, jika SecurityManager tidak digunakan) atau penapis lemah dipilih yang membenarkan objek penyahserikatan. Penyerang juga mesti mengetahui atau meneka laluan ke fail yang dikawalnya, berbanding dengan lokasi FileStore.
Sumber: opennet.ru