Woraus liest du das auch log4j 1.x auch betroffen wäre?
Die Erweiterung mit Auswertung der Daten ist ja erst mit 2.x rein gekommen.
Oder verwechselst du da evtl. was mit das ältere Java-Versionen noch anfälliger wären?
Aus dem BSI-Papier vom 14.12.2012:
"Eine ähnliche Schwachstelle ist auch für die nicht mehr im Support befindlichen Versionen
1.x gemeldet worden, hierbei scheint die Ausnutzung allerdings komplexer zu sein. Da die Versionen 1.x jedoch den
End-of-life (EOL) Status erreicht haben, wird es zu diesen keine Sicherheitsupdates mehr geben [APA2021a]."