JBoss是基于J2EE的开源应用服务器，它可以管理EJB容器和服务器。在其4.2和4.3版本中，服务器模块JMX-Console只对GET和POST方式进行访问控制，而允许远程攻击者使用其他方式发送请求，绕过访问控制。该漏洞编号为CVE-2010-0738。Metasploit的jboss_bshdeployer模块通过PUT方式调用jboss.system:BSHdeployer的createScriptDeployment方法，部署攻击者上传到的WAR文件。