リンク先は，「Apache Struts」としか書かれてないけど，Struts 1.x と Struts 2.x は（開発元は同じでも）別モンという認識なので，あえて「Struts 2」と書いている．
で，この脆弱性，心底ヤバいという風である．該当するStruts 2を使ってるWebアプリ，本気でバージョンアップしないと，いろいろ好き放題やられそう…．

JSOCの観測結果から，攻撃件数の推移を見ると，以下の2つの日よりも，明らかにS2-16が公開された後の件数がスパイクしてるのがわかる．

• 5/26のS2-013，S2-014公開時
• 6/3のS2-015公開

S2-13〜S2-16は，いずれもPoCが公開されている．S2-13〜15は，これ単体ではちょっと実際の攻撃に使いづらいように見える（使えないわけではない）のに対し，S2-16は攻撃者にとっては大変お手軽かつ有用な（というかデンジャラスな）脆弱性となっている．
PoCは「Struts Blank Appに以下のURLのような感じのところにリクエスト投げてみ？」という，大変シンプルなものである．これはもうなんというか，攻撃者にとっては大変美味しいものであろう．なんせ，リクエスト一発投げて試験完了するんだから．

攻撃ツールなどという大層なものをわざわざ作らんでも，wgetで攻撃リクエスト投げるだけのスクリプトを書くだけでもいけそうだ．「PoCという名でお手軽ツール作成例が，本家のWebサイトで公開されてる」んだからそりゃ攻撃も増えるわ…*1
こう書かないと検証すら出来ないところが多いとはいえ，ここまで掲載する必要あるんかね？という気にもなる．