Die Schwachstelle betrifft das Modul zur multimodalen Generierung von SGLang. Verantwortlich ist der eingesetzte ZMQ-Broker, eine Komponente für den Nachrichtenaustausch zwischen Prozessen: Er nimmt eingehende Daten entgegen und wandelt sie mit der Python-Funktion pickle.loads() wieder in Objekte um. Dieses Verfahren entpackt die empfangenen Daten jedoch ungeprüft und ohne jede Authentifizierung. Da pickle beim Entpacken beliebige Objekte erzeugen und dabei Code ausführen kann, lässt sich über speziell präparierte Daten eigener Programmcode einschleusen. Ein Angreifer kann diese Lücke aus der Ferne und ohne gültige Zugangsdaten ausnutzen: Er sendet manipulierte Daten an den Broker und bringt das System dazu, beliebigen Code auszuführen. Damit erlangt er die Kontrolle über den betroffenen Dienst. Besonders kritisch ist das Zusammenspiel aus fehlender Anmeldepflicht und der grundsätzlich unsicheren Deserialisierung mit pickle, das untrusted Daten niemals verarbeiten sollte.