10月3日Apache基金会发布公告,表明旗下的资料序列化框架Avro资安新闻网站Hacker News的相关报导,也引用资安业者Qualys威胁研究团队经理Mayuresh Dani的说法,他表示,该弱点的位置是从Schema收到反序列化输入过程。根据该公司掌握的威胁情报,目前尚未有人提供概念性验证程式码(PoC),但他们表示这项漏洞在透过ReflectData与SpecificData指令处理套件时就会出现,而且,攻击者可透过分散式事件处理平台Kafka利用。
Dani指出,大多数采用Avro的企业组织位于美国,若是他们不予修补、监督或采取保护措施,就有可能产生很多安全问题。