Se i dati serializzati sono forniti da un client non attendibile, possono essere manipolati.
Supponiamo che ci sia un elenco collegato. L'autore dell'attacco può aggiungere un numero enorme di voci .
Potrebbe anche essere possibile creare dati serializzati non validi. Ad esempio il campo lunghezza di un array può essere impostato su un numero molto grande. Il server allocherà memoria sufficiente per memorizzare tutti gli elementi, anche se non vengono mai inviati.
In alcune circostanze è possibile codice di attivazione che alloca altre risorse come thread o file.
Ultimo ma non meno importante ci sono state classi con bug nel loro codice di serializzazione.