Om de kwetsbaarheid succesvol te kunnen misbruiken, moet de aanvaller controle kunnen uitoefenen over de inhoud en de naam van het bestand op de server (bijvoorbeeld of de applicatie de mogelijkheid heeft om documenten of afbeeldingen te downloaden). Bovendien is de aanval alleen mogelijk op systemen die PersistenceManager gebruiken met FileStore-opslag, in de instellingen waarvan de parameter sessionAttributeValueClassNameFilter is ingesteld op “null” (standaard, als SecurityManager niet wordt gebruikt) of waarbij een zwak filter is geselecteerd dat objecten toestaat deserialisatie. De aanvaller moet ook het pad naar het bestand dat hij beheert kennen of raden, in verhouding tot de locatie van de FileStore.
Bron: opennet.ru