この問題は Plack::Middleware::Session::Cookie 0.22以降で対策されました
→ https://gist.github.com/miyagawa/2b8764af908a0dacd43d http://search.cpan.org/~miyagawa/Plack-Middleware-Session/lib/Plack/Middleware/Session/Cookie.pm
事例 → https://speakerdeck.com/mala/how-to-hack-metacpan-dot-org
信頼できないデータを Storable::thaw に渡した場合、任意のコード実行ができることが知られています。