VMware a publié une alerte de sécurité indiquant qu'une application Spring MVC ou Spring WebFlux exécutée sur JDK 9+ peut être vulnérable à l'exécution de code à distance (RCE) via la liaison de données. L'exploit spécifique nécessite que l'application s'exécute sur Tomcat en tant que déploiement WAR. Si l'application est déployée en tant que jar exécutable Spring Boot, c'est-à-dire la valeur par défaut, elle n'est pas vulnérable à l'exploit. 

Toutefois, VMware souligne que la vulnérabilité à un caractère général et il n'est donc pas exclu qu'il existe d'autres façons de l'exploiter. VMware a classé cette vulnérabilité comme critique.

Cette vulnérabilié a été baptisée Spring4Shell car elle rappelle Log4shell récemment découverte dans Log4j. Selon sysdig.com, cette vulnérabilité Srping4Shell a été introduite par un correctif publié pour résoudre une précédente exécution de code à distance.