Log4j2  lookup 功能 
通过一些协议去读取相应环境中的配置
打印日志时，如果发现日志内容中包含关键词 ${
包含的内容会当做变量来进行替换，导致攻击者可以任意执行命令

可以说是灾难性的漏洞，比之前的 fastjson 和 shiro 还要严重，这个漏洞估计在之后三四年内还会继续存在

紧急缓解措施
修改 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
修改配置 log4j2.formatMsgNoLookups=True
将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true