10月3日Apache基金會發布公告，表明旗下的資料序列化框架Avro存在資安漏洞CVE-2024-47561，該漏洞發生在Java軟體開發套件（SDK），CVSS風險評分達到7.3，影響1.11.3之前的版本，該基金會發布1.11.4及1.12.0修補。

開發團隊表示，問題出在舊版Avro的Java SDK處理Schema過程中，攻擊者有機會觸發漏洞並執行任意程式碼，呼籲用戶儘速套用新版程式，後續他們回答提問時提到：假如使用者能夠提供自己的Schema，任何應用程式都有可能受到影響。

資安新聞網站Hacker News對這項漏洞提出進一步說明，假如使用者能夠提供自己的Schema，任何應用程式都有可能受到影響。

資安新聞網站Hacker News的相關報導，也引用資安業者Qualys威脅研究團隊經理Mayuresh Dani的說法，他表示，該弱點的位置是從Schema收到反序列化輸入過程。根據該公司掌握的威脅情報，目前尚未有人提供概念性驗證程式碼（PoC），但他們表示這項漏洞在透過ReflectData與SpecificData指令處理套件時就會出現，而且，攻擊者可透過分散式事件處理平臺Kafka利用。

Dani指出，大多數採用Avro的企業組織位於美國，若是他們不予修補、監督或採取保護措施，就有可能產生很多安全問題。