Die Schwachstelle steckt in Apache MINA, einer Netzwerkbibliothek für Java-Anwendungen, genauer in der Methode zum Auflösen von Klassen beim Einlesen serialisierter Objekte. Beim Wiederherstellen eines Objekts aus einem empfangenen Datenstrom prüft Apache MINA normalerweise anhand einer Erlaubnisliste, welche Klassen zugelassen sind. Diese Prüfung weist jedoch eine Lücke auf: In einem der beiden Verarbeitungszweige – jenem für statische Klassen oder primitive Typen – wird die Klasse überhaupt nicht gegen die Erlaubnisliste abgeglichen. Dadurch lässt sich die Sperre umgehen, und ein Angreifer kann über manipulierte serialisierte Daten beliebigen Code zur Ausführung bringen. Betroffen sind Anwendungen, die Apache MINA einsetzen und die Funktion zum Einlesen von Objekten aus einem Puffer nutzen. Behoben wird das Problem dadurch, dass die Erlaubnisliste früher greift und die Klasse bereits vor dem eigentlichen Laden überprüft wird.