10月3日Apache基金会发布公告，表明旗下的数据串行化框架Avro存在资安漏洞CVE-2024-47561，该漏洞发生在Java软件开发套件（SDK），CVSS风险评分达到7.3，影响1.11.3之前的版本，该基金会发布1.11.4及1.12.0修补。

开发团队表示，问题出在旧版Avro的Java SDK处理Schema过程中，攻击者有机会触发漏洞并运行任意代码，呼吁用户尽速套用新版程序，后续他们回答提问时提到：假如用户能够提供自己的Schema，任何应用程序都有可能受到影响。

资安新闻网站Hacker News对这项漏洞提出进一步说明，假如用户能够提供自己的Schema，任何应用程序都有可能受到影响。

资安新闻网站Hacker News的相关报导，也引用资安业者Qualys威胁研究团队经理Mayuresh Dani的说法，他表示，该弱点的位置是从Schema收到反串行化输入过程。根据该公司掌握的威胁情报，目前尚未有人提供概念性验证代码（PoC），但他们表示这项漏洞在通过ReflectData与SpecificData指令处理套件时就会出现，而且，攻击者可通过分布式事件处理平台Kafka利用。

Dani指出，大多数采用Avro的企业组织位于美国，若是他们不予修补、监督或采取保护措施，就有可能产生很多安全问题。