La désérialisation est le processus de transformation de données sérialisées (comme un fichier binaire ou JSON) en objets ou structures utilisables dans un programme. Lorsqu'elle est mal sécurisée, cette opération peut devenir vulnérable aux attaques. Un attaquant peut manipuler les données sérialisées pour injecter du code malveillant qui sera exécuté lors de la désérialisation, souvent avec des conséquences graves comme l'exécution de commandes arbitraires ou l'accès non autorisé à des ressources système. La validation stricte des données avant la désérialisation est essentielle pour se protéger contre ces risques.
