Die Schwachstelle betrifft Apache ActiveMQ und entsteht durch die mitgelieferte Jolokia-Schnittstelle, über die sich JMX-Funktionen per HTTP ansprechen lassen. In der ActiveMQ-Konfiguration leitet der eingebettete Webserver Anfragen an das Jolokia-Agent-Servlet weiter. Ein bereits an Jolokia angemeldeter Nutzer kann darüber per POST eine JMX-Anfrage als JSON einreichen, die intern weiterverarbeitet und ausgeführt wird. Über Reflexion lässt sich so der Exec-Handler erreichen und damit Methoden verschiedener MBeans aufrufen. Das ermöglicht die Ausführung von beliebigem Code. Als Beispiel dient eine ungesicherte Deserialisierung im JFR-FlightRecorder-MBean neuerer Java-Versionen: Durch das nacheinander erfolgende Anlegen einer Aufzeichnung, das Hinterlegen einer manipulierten Konfiguration mit eingebettetem Webshell-Inhalt sowie das Starten und Kopieren der Aufzeichnung wird der Schadcode als ausführbare Datei auf dem Server abgelegt. Im Ergebnis kann ein authentifizierter Angreifer die Kontrolle über das betroffene System erlangen.