J2EEコンテナがシリアライズ不可能なオブジェクトをディスクに書き込もうとする場合、処理が正常に完了する保証はありません。
高負荷状態では、ほとんどのJ2EEアプリケーションフレームワークは、オブジェクトをディスクにフラッシュして、入ってくるリクエストのメモリ要件を管理します。例えば、セッション・スコープ・オブジェクトやアプリケーション・スコープ・オブジェクトは、必要なときにディスクに書き込まれます。これらのアプリケーションフレームワークは、オブジェクトをディスクに書き込むという実際の作業は行いますが、それらのオブジェクトがシリアライズ可能であることを強制しないため、ウェブアプリケーションはシリアライズの失敗によって引き起こされるクラッシュに対して脆弱なままとなります。攻撃者は、ウェブ・アプリケーションにオブジェクトをディスクに保存させるのに十分なリクエストをサーバに送ることで、サービス拒否攻撃を仕掛けることができるかもしれません。
When the J2EE container attempts to write unserializable objects to disk there is no guarantee that the process will complete successfully.
In heavy load conditions, most J2EE application frameworks flush objects to disk to manage memory requirements of incoming requests. For example, session scoped objects, and even application scoped objects, are written to disk when required. While these application frameworks do the real work of writing objects to disk, they do not enforce that those objects be serializable, thus leaving the web application vulnerable to crashes induced by serialization failure. An attacker may be able to mount a denial of service attack by sending enough requests to the server to force the web application to save objects to disk.