今話題のlog4jの脆弱性、「Judi:ldap//アドレス/Javaクラス」みたいな情報をロガーに吐かせると、任意アドレスに情報取りに行ってそこから取ったデータをプログラムとして実行してしまう模様。
https://github.com/tangxiaofeng7/apache-log4j-poc

ログからjndiキックしてかつ取得した情報をデシリアライズして実行するとか悪用してくれと言わんばかりのコードw

ユーザー名とか普通にログ出力してそうだし、ユーザー名に上記呪文を仕込むとヤバそう