A mi, deshabilitando NoScript, si que se ejecuto calc.exe con "Firefox/3.6.3".
El fallo esta en la logica de JavaVM como plugin del navegador web a la hora de pasarle los argumetos al handler (javaws.exe) /* no los filtra y son controlados por el atacante via ciertos parametros */ asi que ira tanto en windows (.dll) como Linux (.so); al menos eso parece..
Vaya, si es que Java (JavaVM plugin para Browsers) es uno de los puntos claves de entrada por el "poder" de ejecucion que puede tener sobre el S.O desde lal Web.. No es como otros parsers que son embedded en el Browser (CSS ..), asi que ojo con Java!