Exemplo

public void doGet(HttpServletRequest req, HttpServletResponse resp) {

HttpSession session = req.getSession(true);
session.setAttribute(ATTRIB_NAME, new NonSerializableData());
// ...
}
public class NonSerializableData {
// ...
}

private static final String ATTRIB_NAME = "badExemplo";

Solução
Faça o objeto implementar java.io.Serializable, torne o campo temporário ou não armazene o objeto em HttpSession.

public void doGet(HttpServletRequest req, HttpServletResponse resp) {

HttpSession session = req.getSession(true);
session.setAttribute(ATTRIB_NAME, new SerializableData());
// ...
}
public class NonSerializableData implementa java.io.Serializable {
static final long serialVersionUID = -817083988410801866L;
// ...
}

private static final String ATTRIB_NAME = "badExemplo";