Pentru a exploata cu succes vulnerabilitatea, atacatorul trebuie să fie capabil să controleze conținutul și numele fișierului de pe server (de exemplu, dacă aplicația are capacitatea de a descărca documente sau imagini). În plus, atacul este posibil doar pe sistemele care utilizează PersistenceManager cu stocare FileStore, în setările cărora parametrul sessionAttributeValueClassNameFilter este setat la „null” (în mod implicit, dacă SecurityManager nu este utilizat) sau este selectat un filtru slab care permite obiectul deserializarea. De asemenea, atacatorul trebuie să cunoască sau să ghicească calea către fișierul pe care îl controlează, în raport cu locația FileStore.
Sursa: opennet.ru