Die Schwachstelle steckt in der Netzwerkbibliothek Apache MINA, genauer in der Komponente, die eingehende serialisierte Daten entgegennimmt. Diese verarbeitet die Daten über den nativen Java-Deserialisierungsmechanismus, ohne dabei die nötigen Sicherheitsprüfungen vorzunehmen. Ein Angreifer kann das ausnutzen, indem er speziell präparierte serialisierte Daten an die Anwendung sendet: Beim Wiederherstellen dieser Objekte lässt sich schädlicher Code einschleusen und aus der Ferne ausführen. Betroffen sind jedoch nur Anwendungen, die diese Deserialisierungsfunktion tatsächlich nutzen – konkret dann, wenn die Methode zum Auslesen von Objekten aus dem Datenpuffer aufgerufen wird, was typischerweise beim Einbinden des entsprechenden Objekt-Serialisierungs-Codecs in die Filterkette geschieht. Setzt eine Anwendung diese Klassen nicht ein, ist sie nicht angreifbar. Einige Teilprojekte der Bibliothek sind von dem Problem ebenfalls nicht betroffen.