Dazu kommt, das das Problem ja nur auftritt, wenn bestimmte Texte in den Platzhaltern der Lognachrichten mittels log4j gelogged werden.
Konkret: Loggt das Java-Programm nur statische Texte mit z.B. Datum und Zahlen, hast Du kein Problem. Nur wenn das Ding externe Eingaben loggt, und jemand so einen {jndi:ldap://url} - Text ins das Log reinbringt, DANN wird der Code hinter der Adresse nachgeladen und ausgeführt.