Die Schwachstelle betrifft die Netzwerkbibliothek Apache MINA, genauer die Methode AbstractIoBuffer.getObject(), mit der sich serialisierte Java-Objekte aus einem Datenpuffer wiederherstellen lassen. Um zu verhindern, dass beim Deserialisieren gefährliche Klassen geladen werden, prüft die Bibliothek anhand einer Positivliste, welche Klassennamen überhaupt zugelassen sind. Diese Prüfung greift jedoch zu spät: Bevor die Liste abgeglichen wird, kann der statische Initialisierungsteil einer einzulesenden Klasse bereits ausgeführt worden sein. Ein Angreifer, der manipulierte serialisierte Daten einschleust, kann auf diesem Weg also schon vor der Filterung Code zur Ausführung bringen – die Positivliste schützt dann nicht mehr zuverlässig. Es handelt sich um eine unvollständig behobene frühere Deserialisierungslücke; die Korrektur war zudem auf bestimmten Entwicklungszweigen gar nicht eingespielt. Betroffen sind Anwendungen, die Apache MINA einsetzen und die Methode IoBuffer.getObject() aufrufen. Behoben wird das Problem, indem die Klassennamen-Positivliste früher angewendet wird.