Die Schwachstelle betrifft das System zur parallelen Disaggregation der Encoder in SGLang. Der Defekt sitzt im Disaggregationsmodul: Dieses nimmt von außen eingehende Daten entgegen und stellt sie mit der Python-Funktion pickle.loads() wieder her, also durch Deserialisierung. Pickle führt beim Einlesen jedoch beliebige im Datenstrom enthaltene Anweisungen aus, und das Modul prüft die Herkunft der Daten nicht – es findet keinerlei Authentifizierung statt. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten manipulierte Daten an das Modul schicken und auf diesem Weg eigenen Code auf dem betroffenen System ausführen. Da weder eine Anmeldung noch eine Benutzerinteraktion nötig ist und der Zugriff direkt über das Disaggregationsmodul erfolgt, steht der Angriffsweg überall dort offen, wo dieser Dienst über das Netz erreichbar ist. Betroffen sind SGLang-Installationen, die die parallele Encoder-Disaggregation nutzen.