Не удержусь напомнить - сканеры моветон.

1)Lars Ellingsen Guestbook System Remote Command Execution

Все подробненько в картинках:

http://www.sans.org/security-resources/malwarefaq/guestbook.php

2) Session Not Invalidated After Logout

Говорит о том что сессия не обрывается после нажатия кнопки выход, вариант дублировать сессию.

3)Unencrypted Login Request - данные при авторизации передаются без шифрования, теоретически можно найти возможность их перехватить.

FraWn

java в чистом виде обрабатывается на стороне клиента в таком случае залить шелл с расширением .js не возможно.

Существует так-же NodeJS, ASP JScript которая обрабатывается на стороне сервера.

Вопрос в том с чем ты именно имеешь дело.

В целом возможность вызывать собственные java сценарии хорошая возможность развить другой вектор атаки например:

http://en.wikipedia.org/wiki/Cross-site_scripting