用友NC的ActionHandlerServlet接口存在反序列化漏洞，受影响的版本有NC6.3和NC6.5。漏洞原因是在接收到请求后，该接口先进行Gzip解压缩，然后进行反序列化。解决poc编写问题时，发现序列化数据被gzip压缩后改变，经过查阅资料发现是UTF-8编码的问题，将编码修改为ASCII后问题解决。