Die Schwachstelle betrifft llama-cpp-python, die Python-Anbindung an llama.cpp zum Laden und Ausführen von Sprachmodellen im GGUF-Format. Beim Laden eines Modells liest die Klasse Llama in ihrem Konstruktor verschiedene Einstellungen aus den Metadaten der GGUF-Datei aus – darunter auch die sogenannte Chat-Vorlage (chat template), die festlegt, wie Eingaben für das Modell aufbereitet werden. Diese Vorlage wird an einen Jinja2-basierten Formatierer übergeben und dort verarbeitet. Das Problem: Die Vorlage wird in einer Jinja2-Umgebung ohne Sandbox ausgewertet und beim Aufbau der Eingabeaufforderung gerendert. Dadurch entsteht eine Server-Side Template Injection: Ein Angreifer kann eine GGUF-Datei mit einer manipulierten Chat-Vorlage präparieren, deren eingebetteter Schadcode beim Laden des Modells ausgeführt wird – das führt zu beliebiger Codeausführung auf dem System. Gefährdet ist damit jeder, der ein Modell aus einer nicht vertrauenswürdigen Quelle lädt, da bereits die Datei selbst den Angriff transportiert.