Die Schwachstelle steckt in Apache MINA, einem Netzwerk-Framework für Java-Anwendungen, und betrifft genauer die Methode AbstractIoBuffer.resolveClass(). Diese Methode verfügt über zwei Verarbeitungszweige; einer davon – zuständig für statische Klassen beziehungsweise primitive Typen – prüft die zu ladende Klasse überhaupt nicht. Dadurch lässt sich die eigentlich vorgesehene Positivliste erlaubter Klassennamen (Allowlist) umgehen: Ein Angreifer kann beim Deserialisieren beliebige Klassen über Class.forName() laden lassen und auf diesem Weg eigenen Code zur Ausführung bringen. Es handelt sich also um eine unsichere Deserialisierung, bei der die Namensprüfung an entscheidender Stelle nicht greift. Betroffen sind Anwendungen, die Apache MINA einsetzen und die Methode IoBuffer.getObject() aufrufen, um serialisierte Objekte einzulesen – verarbeitet eine solche Anwendung von einem Angreifer kontrollierte Daten, kann dieser die Kontrolle über den ausgeführten Code erlangen.