Die Schwachstelle steckt im Scheduler der Laufzeitumgebung von SGLang, die zur multimodalen Generierung eingesetzt wird. Der Kern des Problems ist eine unsichere Verarbeitung eingehender Nachrichten: Die Komponente nutzt einen ROUTER-Socket, der sich standardmäßig an alle Netzwerkschnittstellen bindet und damit ohne weitere Eingrenzung von außen erreichbar ist. Auf die so empfangenen Nachrichten wird unmittelbar die Funktion pickle.loads() angewendet, die deren Inhalt deserialisiert. Da beim Deserialisieren von Pickle-Daten beliebiger Code ausgeführt werden kann, lässt sich über präparierte Nachrichten Schadcode einschleusen und auf dem Zielsystem ausführen. Ist der Dienst dem Internet ausgesetzt, kann ein Angreifer dies aus der Ferne ausnutzen und so die Kontrolle über das betroffene System erlangen. Besonders kritisch ist die Kombination aus der standardmäßig offenen Bindung und dem ungeprüften Deserialisieren, weil der Angriffsweg ohne zusätzliche Voraussetzungen unmittelbar offensteht.