Kriminelle können die Sicherheitslücke in Log4j ausnutzen, um Systeme mit Cryptominern zu infizieren oder mit Botnetzen anzugreifen. Dem BSI sind hierzu schon Fälle bekannt. In jedem Fall können Angreifer die Lücke ausnutzen, um sich eine Hintertür in den Systemen einzubauen und gegebenenfalls erst später auszunutzen, um bspw. Ransomware-Angriffe durchzuführen.
Das BSI geht von der höchsten Gefährdungsstufe 10 auf der CVSS-Skala (Common Vulnerability Scoring System) aus. Zwar sei noch nicht abschließend bekannt, in welchen Anwendungen Log4j eingesetzt wird. Jedoch sei die Sicherheitslücke weit verbreitet und Kriminelle könnten diese leicht ausnutzen. Das BSI teilte mit, dass Kriminelle das Netz bereits breitflächig nach der Schwachstelle scannen.