Одно из приложений на сервере позволяет скомпилировать и запустить любой файл, как JSP-приложение. Таким образом, если атакующий имеет возможность записать файл он может выполнить код. Как минимум одно из демонстрационных приложений - доска объявлений - позволяет запись файлов.
