Die Schwachstelle betrifft LiteLLM und sitzt in einer Testfunktion für benutzerdefinierten Guardrail-Code. Über diese Funktion lässt sich Programmcode auf der Ebene des Bytecodes umschreiben – also auf der bereits in eine maschinennahe Zwischenform übersetzten Stufe des Codes. Ein Angreifer kann diesen Umstand aus der Ferne ausnutzen, um eigenen, beliebigen Code einzuschleusen und auf dem betroffenen System zur Ausführung zu bringen. Damit erlangt er die Möglichkeit, fremde Befehle auf dem Server auszuführen, auf dem LiteLLM läuft. Besonders heikel ist, dass der Angriff über eine erreichbare Schnittstelle der Anwendung erfolgt: Wo diese Test-Schnittstelle für benutzerdefinierten Guardrail-Code zugänglich ist, steht der Angriffsweg unmittelbar offen. Betroffen sind Installationen von LiteLLM, das als Vermittlungsschicht für den Zugriff auf verschiedene Sprachmodelle eingesetzt wird.