La interpolación de triple llave de Handlebars no protege contra la inyección de roles estructurales, ya que el escape de HTML solo neutraliza los delimitadores de corchetes angulares. Deja intactos los delimitadores de dos puntos y de hash de Markdown, lo que permite a los atacantes secuestrar los turnos del modelo. El escape predeterminado no proporciona protección para la mayoría de las familias de delimitadores de roles y no puede reemplazar una separación estructural entre instrucciones y datos.