Aby skutecznie wykorzystać lukę, osoba atakująca musi mieć możliwość kontrolowania zawartości i nazwy pliku na serwerze (np. czy aplikacja ma możliwość pobierania dokumentów lub obrazów). Ponadto atak jest możliwy tylko na systemach korzystających z PersistenceManager z magazynem FileStore, w ustawieniach których parametr sessionAttributeValueClassNameFilter jest ustawiony na „null” (domyślnie, jeśli nie jest używany SecurityManager) lub wybrany jest słaby filtr pozwalający obiekt deserializacja. Osoba atakująca musi także znać lub odgadnąć ścieżkę do kontrolowanego przez siebie pliku w zależności od lokalizacji FileStore.
Źródło: opennet.ru