El bug permite tomar el control prácticamente completo de servidores webs utilizados en bancos, agencias gubernamentales y grandes compañías de internet. Es trivial de explotar. Aunque el bug está corregido ya en Struts, hackers lo siguen explotando en miles de sitios que no lo han aplicado. Especificamente el bug está dentro del intérprete de subida de ficheros en varias partes de Jakarta. Las versiones de Struts afectadas son 2.3.5 a 2.3.31, u 2.5 a 2.5.10.