Die Schwachstelle steckt im Update-Mechanismus von Ollama for Windows. Beim Herunterladen von Aktualisierungen bildet die Anwendung lokale Dateipfade aus Werten, die sie aus den HTTP-Antwort-Headern des Servers übernimmt – ohne diese zu prüfen. Dadurch lassen sich Pfad-Wechsel-Sequenzen einschleusen, mit denen Dateien außerhalb des eigentlich vorgesehenen Zwischenverzeichnisses für Updates abgelegt werden. Ein Angreifer, der die Update-Antworten beeinflussen kann, vermag so beliebige ausführbare Dateien an selbst gewählte Orte zu schreiben, auf die der aktuelle Benutzer Zugriff hat – darunter den Windows-Autostart-Ordner. Auf diesem Weg kann fremder Code zur Ausführung gebracht werden. Besonders heikel: Ollama for Windows führt seine Updates still und automatisch aus und startet die bereitgestellten Programme ohne Zutun des Nutzers. Dadurch kann untergeschobener Code automatisch und dauerhaft ausgeführt werden, ohne dass der Anwender etwas davon bemerkt.