Das sagt sich so leicht daher, ist aber nicht passend.
Zum einen gibt es immer wieder Fälle, wo man Benutzereingaben loggen muss, um den Fehler oder ein Problem überhaupt finden zu können. Es nutzt einer Firma wie Apple nichts, wenn im Logfile der Eintrag "Programmabsturz wegen fehlerhafter Benutzereingaben" steht. Da muss auch geloggt werden, bei welchen Benutzer das auftrat und welche Daten das Programm zum Absturz gebracht haben. Ansonsten könnten Programmfehler nicht behoben werden. Auch aus Sicherheitsaspekten ist Logging normalerweise sinnvoll, z. B. um Angriffe überhaupt zu bemerken. Oder Zahlungsdienstleister tun gut daran, alle Daten inklusive der Eingaben vom Kunden zu loggen, um Betrugsversuche nachvollziehen zu können.
Zum anderen ist Logging eigentlich harmlos. Da werden Texte in eine Textdatei geschrieben, und das war's. Da werden keine Benutzereingaben zur Ausführung gebracht oder auch nur fremden Benutzern angezeigt. Die Dateien sind nur zur Kontrolle durch Administratoren, die wissen, was sie da vor sich haben. Der schlimmste Fall des Missbrauchs wäre normalerweise, dass ein bösärtiger Benutzer so viele Eingaben produziert, dass die Logdatei riesig wird und die Platte voll ist, eine DOS-Attacke also. Das Risiko ist gerade für kleinere Seitenbetreiber hinnehmbar. Aber niemand rechnet damit, das durch simples Logging auf fremde Systeme zugegriffen wird und Code ausgeführt werden kann. Den meisten Programmierern war die Möglichkeit nicht bekannt, da sie sie Funktion nie gebraucht haben.
Das log4j-Team hat als Patch auch nicht die Funktion entfernt, sondern sie ist nicht mehr als Default eingeschaltet. Es war unverantwortlich, dass eine solche Funktion per Default nutzbar war, ohne dass dies klar kommuniziert wurde.
Es geht vornehmlich um Programme auf Webservern (oder nachgelagerten Servern), die im Web eingegebene Daten verarbeiten. Da ist sehr viel Javacode dabei. Und die Programme sind gerade nicht komplett hinter einer Firewall, da sie sonst ihre Aufgaben nicht erfüllen könnten. Zum Logging von Usereingaben siehe oben.
Gutes Beispiel.
Minecraft nutzt log4j, wobei ich nicht weiß, was die protokollieren. Möglicherweise reicht es schon aus, auf einem öffentlichen Server zu spielen, und irgendein Benutzer mit dem Namen " ${jndi:ldap://..." schickt eine Nachricht "Hallo" oder fragt an, mitspielen zu dürfen. Ablehnen bringt nichts, weil es dann schon zu spät ist. (Spekulativ; da wie gesagt ich nicht weiß, was ein Minecraft-Programm tatsächlich loggt.)