はいどうも。毎度のOGNL脆弱性FIXが出てますよ。
今回は2つ。

簡単に言うと、Struts2はパラメータ名に"action:"、"redirect:"、"redirectAction:"が付いたものを特別扱いする仕様なのですが、その扱い方に問題があったということです。
OGNLとして評価されてしまうため、任意のリモートコード実行ができてしまいます。

詳しくは以下のURLを参照。

http://struts.apache.org/release/2.3.x/docs/s2-016.html
http://struts.apache.org/release/2.3.x/docs/s2-017.html

ちなみに、報告したのは日本の方のようです。Reporterの欄に

Takeshi Terada of Mitsui Bussan Secure Directions, Inc.

とあります。