Die Schwachstelle betrifft Ollama, eine Software zum lokalen Betrieb von KI-Sprachmodellen, und steckt im Lader für GGUF-Modelldateien. Über die Schnittstelle zum Erstellen eines Modells lässt sich eine vom Angreifer präparierte GGUF-Datei einschleusen, in der die angegebene Position und Größe eines Tensors über die tatsächliche Dateilänge hinausreichen. Beim anschließenden Quantisieren liest der Server dadurch über den reservierten Speicherbereich hinaus (Lesezugriff außerhalb der Grenzen auf dem Heap). Auf diese Weise gelangen fremde Speicherinhalte in das erzeugte Modell – darunter Umgebungsvariablen, API-Schlüssel, System-Prompts sowie Gesprächsdaten gleichzeitig aktiver Nutzer. Über die Schnittstelle zum Hochladen eines Modells kann der Angreifer das so gefüllte Artefakt anschließend an eine von ihm kontrollierte Registry übertragen und die ausgelesenen Daten damit abfließen lassen. Beide genutzten Schnittstellen erfordern in der Standardverteilung keine Anmeldung. Zwar lauscht die Software standardmäßig nur lokal, doch die verbreitete Konfiguration zur Freigabe auf allen Netzwerkadressen macht zahlreiche Instanzen aus dem Internet erreichbar.