Este módulo de Metasploit abusa el método inseguro invoke() de la clase de ProviderSkeleton que permite para llamar a métodos estáticos arbitrarios con argumentos de usuario. La vulnerabilidad afecta a la versión Java 7u21 y versiones anteriores.
Explotando la vulnerabilidad con Metasploit.
Solo quedaría utilizar Ingeniería Social y enviar la dirección generada por Metasploit para obtener nuestra sesión de Meterpreter ;);)
Source - Underc0de
