Die Schwachstelle betrifft die Netzwerk-Bibliothek Apache MINA, genauer die Methode getObject() der Klasse AbstractIoBuffer, mit der serialisierte Java-Objekte aus einem Datenpuffer wiederhergestellt werden. Zum Schutz vor gefährlicher Deserialisierung gibt es eine Positivliste (Allowlist) der Klassen, die überhaupt deserialisiert werden dürfen. Ein früherer Korrekturversuch für dieses Problem war jedoch unvollständig: Die Prüfung gegen die Allowlist wurde zu spät durchgeführt. Dadurch konnte der statische Initialisierer einer einzulesenden Klasse bereits ausgeführt werden, bevor die Klasse überhaupt als unzulässig abgewiesen wurde. Ein Angreifer kann das ausnutzen, indem er manipulierte serialisierte Daten einschleust und so unerwünschten Code zur Ausführung bringt, obwohl die betreffende Klasse eigentlich gar nicht zugelassen wäre. Betroffen sind alle Anwendungen, die Apache MINA einsetzen und in ihrem Code die Methode IoBuffer.getObject() aufrufen. Die korrigierte Fassung wendet die Allowlist nun früher an.