Wat er in feite gebeurt is dat de log4j bibliotheek tijdens het loggen (bijv. van HTTP request headers, bepaalde user input data, ...) bepaalde patronen in de te loggen tekst aanziet als vragen om een stukje (malware) code van een externe site te downloaden op de server, en die code uit te voeren. Welke gegevens servers loggen hangt af van geval tot geval, dus moet een aanvaller eerst dat uitproberen.
Wat hackers verder met die malware code (kunnen) doen hangt ook af van geval tot geval. Het grote probleem hier is dat log4j in feite al jaren een de facto standaard is voor logging en dus wellicht op veel meer dan 'enkele' duizenden servers problemen kan geven. Vooral ook omdat er in veel web toepassingen gebruik gemaakt wordt van allerhande (open source) bibliotheken die zelf ook nog eens loggen met log4j.