Oracle gaf twee jaar geleden een patch uit voor dit gat, maar die lost het basisprobleem niet op. Met een minimale wijziging kon een Poolse beveiligingsonderzoeker de kwetsbaarheid daarom opnieuw toepassen in een exploit.

Het gat is niet opnieuw gepatcht, daar de onderzoekers het gat meteen op straat gooien wegens een beleid dat er direct disclosure volgt als het gaat om een schijnbaar gedicht lek.

Het originele gat, CVE-2013-5838, is een kritieke kwetsbaarheid in OpenJDK, waardoor een class spoofing-aanval kan worden uitgevoerd op de JVM. Aanvallers kunnen daarmee de Java-sandbox ontspringen en andere delen van de systemen van gebruikers aanspreken.