Для успішної експлуатації вразливості атакуючий повинен мати можливість контролювати вміст та ім'я файлу на сервері (наприклад, за наявності у додатку можливості завантаження документів або зображень). Крім того, атака можлива тільки на системах, в яких використовується PersistenceManager зі сховищем FileStore, в налаштуваннях якого параметр sessionAttributeValueClassNameFilter виставлений у значення "null" (за замовчуванням, якщо не застосовується SecurityManager) або вибраний слабкий фільтр, що допускає десеріалізацію об'єкта. Атакуючий також повинен знати або вгадати шлях до контрольованого ним файлу щодо розташування сховища FileStore.
Джерело: opennet.ru