Die Schwachstelle betrifft den Reranking-Endpunkt von SGLang, über den eingereichte Texte neu sortiert und bewertet werden. Der Defekt liegt in der Verarbeitung von Modelldateien: Beim Laden eines Modells wird die im Tokenizer hinterlegte Chat-Vorlage als Jinja2-Template verarbeitet. Diese Vorlagen werden jedoch in einer nicht abgeschotteten Jinja2-Umgebung gerendert, also ohne die Schutzmechanismen, die das Ausführen beliebigen Codes verhindern würden. Lädt das System ein Modell mit einer manipulierten Chat-Vorlage, kann ein Angreifer darüber eigenen Code einschleusen und auf dem Server ausführen (Remote Code Execution). Die Gefahr besteht überall dort, wo Modelldateien aus nicht vertrauenswürdigen Quellen geladen werden – eine präparierte Vorlage genügt, um die Kontrolle über das ausführende System zu erlangen.