La interpolación de triple llave de Handlebars no protege contra la inyección de rol estructural, ya que el escape de HTML solo neutraliza los delimitadores de corchetes angulares. Deja intactos los delimitadores de dos puntos y de hash de Markdown, lo que permite a los atacantes secuestrar el comportamiento del modelo. El escape predeterminado no proporciona protección para la mayoría de los esquemas de delimitador de rol y no puede reemplazar una clara separación de instrucciones y datos.