Из-за недостаточной проверки шел-символов можно выполнить любой java-код.
vulners.com/securityvulns/securityvulns:doc:1896