問題を解き、解説を読んでいるのですが、JNDILookupを用いた攻撃は、
最終的に攻撃者により、どのような被害が出るのかが理解できません。
具体的にどのような被害パターンがあるか教えて頂けると幸いです。

log4shell(CVE-2021-44228)として当時話題になったリモートコード実行(RCE)が可能な脆弱性の話ですね。

攻撃者が外部からjava classファイルを攻撃対象のマシン上で実行可能。つまり、攻撃対象のマシン上で攻撃者が用意したプログラムをなんでも実行できるということです。

対象マシンを乗っ取る、マルウェア等に感染させる、情報を盗む等、ありとあらゆることができるのでRCEは非常に危険な脆弱性になります。