Apache Struts2に深刻な脆弱性が確認された件で、Apache Strutsが最新版のバージョン2.3.16.1を公開したが、この最新版の修正が不十分であることが三井物産セキュアディレクション(MBSD)のエンジニアにより発見された。MBSDによると、最新版のバージョン2.3.16.1はClassLoaderを操作される脆弱性を修正したものであるが、この修正が不十分であるため、現在もClassLoaderを操作される脆弱性が存在しており、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることが確認された。この脆弱性によりJavaコードが含まれたファイルを攻撃者が操作することで任意のコードが実行される恐れがある。現在この修正版は公開されていないが、軽減措置として同社はコードを公開している。
