Na úspešné zneužitie zraniteľnosti musí byť útočník schopný kontrolovať obsah a názov súboru na serveri (napríklad ak má aplikácia možnosť sťahovať dokumenty alebo obrázky). Okrem toho je útok možný len na systémoch, ktoré používajú PersistenceManager s úložiskom FileStore, v ktorých nastaveniach je parameter sessionAttributeValueClassNameFilter nastavený na hodnotu „null“ (v predvolenom nastavení, ak sa SecurityManager nepoužíva) alebo je vybraný slabý filter, ktorý umožňuje objekt deserializácia. Útočník musí tiež poznať alebo uhádnuť cestu k súboru, ktorý ovláda, vzhľadom na umiestnenie FileStore.
Zdroj: opennet.ru