Hay una manera fácil de bloquear totalmente una gran cantidad de JVM:

class runhang {
public static void main(String[] args) {
  System.out.println("Test:");
  double d = Double.parseDouble("2.2250738585072012e-308");
  System.out.println("Value: " + d);
 }
}

o, para colgar el compilador:

class compilehang {
public static void main(String[] args) {
  double d = 2.2250738585072012e-308;
  System.out.println("Value: " + d);
 }
}

como se explica aquí:http://www.exploringbinary.com/java-hangs-when-converting-2-2250738585072012e-308/

Mi pregunta es muy simple: ¿qué tipo de aplicación web bien concebida sabes que puede verse afectada de manera realista por esto?

En otras palabras: en qué tipo de aplicaciones web podría un atacante realizar unNegación de servicio usando esa debilidad conocida?

Es malo, es terriblemente malo. Pero además de los programadores que usan coma flotante para el cálculo monetario, no veo muchos sitios web respaldados por Java que puedan bloquearse.

Puedo ver que los applets científicos de juguete son candidatos, pero además de eso ...

Aquí hay un threadump del thread bloqueado (hecho usando "kill -3" en Linux):

"main" prio=1 tid=0x09ab8a10 nid=0x57e9 runnable [0xbfbde000..0xbfbde728]
        at sun.misc.FDBigInt.mult(FloatingDecimal.java:2617)
        at sun.misc.FloatingDecimal.multPow52(FloatingDecimal.java:158)
        at sun.misc.FloatingDecimal.doubleValue(FloatingDecimal.java:1510)
        at java.lang.Double.parseDouble(Double.java:482)

EDITAR

JVM bloqueados aquí:

Java versión "1.5.0_10" Java (TM) 2 Runtime Environment, Standard Edition (build 1.5.0_10-b03) Java HotSpot (TM) Server VM (build 1.5.0_10-b03, modo mixto)

Java versión "1.6.0_17" Java (TM) SE Runtime Environment (compilación 1.6.0_17-b04) Java HotSpot (TM) Server VM (compilación 14.3-b01, modo mixto)