越來越糟

科林克認為，該攻擊在特定場景下尤其有趣——從執行XML解析的主機上訪問(不受限的，甚至沒有垃圾郵件或惡意軟件過濾的)內部郵件服務器時。

摩根的貢獻，則是實現了用同樣的動作經過幾步過程突破防火墻高位端口：

1. 獲取一個內部IP地址——這很簡單：發個URL，看看客戶端是怎么動作的，然后嘗試另一個，直到攻擊成功。

2. 包對齊——這就是該攻擊成功的秘訣了。FTP是同步的，意味著兩邊都在等待自己發出的每一條命令的響應。如果這里出錯了，攻擊失??！

摩根稱他將暫時不公布概念驗證腳本，先看看甲骨文(和Python開發者)是怎么回應本披露的。

不過，他設想自己的漏洞利用也可用于中間人攻擊、服務器端請求偽造、XEE攻擊等等——一旦越過防火墻，桌面主機即便沒有安裝Java也能被攻擊了。

Python同樣脆弱，其urllib和urllib2庫就是入手點。不過，該注入似乎僅限于在URL中指定目錄名的攻擊。

至于緩解辦法，摩根建議：在桌面和瀏覽器中禁用Java；在所有防火墻上禁用“經典模式”的FTP。