หากต้องการใช้ประโยชน์จากช่องโหว่นี้ให้สำเร็จ ผู้โจมตีจะต้องสามารถควบคุมเนื้อหาและชื่อของไฟล์บนเซิร์ฟเวอร์ได้ (เช่น หากแอปพลิเคชันมีความสามารถในการดาวน์โหลดเอกสารหรือรูปภาพ) นอกจากนี้ การโจมตียังเป็นไปได้เฉพาะบนระบบที่ใช้ PersistenceManager พร้อมที่เก็บข้อมูล FileStore ในการตั้งค่าที่พารามิเตอร์ sessionAttributeValueClassNameFilter ถูกตั้งค่าเป็น "null" (โดยค่าเริ่มต้น หากไม่ได้ใช้ SecurityManager) หรือเลือกตัวกรองที่อ่อนแอซึ่งอนุญาตวัตถุ การดีซีเรียลไลเซชัน ผู้โจมตีจะต้องรู้หรือเดาเส้นทางไปยังไฟล์ที่เขาควบคุมโดยสัมพันธ์กับตำแหน่งของ FileStore
ที่มา: opennet.ru