Die Schwachstelle steckt in der Klasse SocketServer der Protokollierungsbibliothek Log4j. Diese Komponente nimmt über das Netzwerk Log-Daten entgegen und wandelt empfangene Objekte wieder in ihre ursprüngliche Form um (Deserialisierung). Dabei prüft sie die hereinkommenden Daten nicht ausreichend: Ein Angreifer kann manipulierte, nicht vertrauenswürdige Objekte einschleusen. In Verbindung mit einem passenden sogenannten Deserialisierungs-Gadget – also vorhandenem Code, der sich beim Entpacken missbrauchen lässt – kann er auf diese Weise aus der Ferne beliebigen Code ausführen. Voraussetzung ist, dass die SocketServer-Komponente auf einer Netzwerkverbindung lauscht und dort Daten aus einer nicht vertrauenswürdigen Quelle annimmt. Betroffen ist Software, die diese ältere Log4j-Komponente zur Entgegennahme von Protokolldaten über das Netz einsetzt; gerade in solchen Aufbauten ist der Dienst direkt angreifbar.