2008-10-22 числа Secunia.com была найдена уязвимость в функции
_expand_quoted_text() полный текст http://secunia.com/Advisories/32329/.
Разработчики попытались исправить уязвимость как видно из их кода
http://smarty-php.googlecode.com/svn/trunk/libs/Smarty_Compiler.class.php
путем экранированием символа '$' :
$_return = preg_replace('~\$(\W)~',"\\\\\$\\1",$_return);
но как видно у них это не сильно получилось :/
эксплуатация все еще остается возможной в версии 2.6.20 путем добавления
обратного слеша перед знаком '$', и как можно догадатся при компиляции кода
смарти получается '\\$' что опять же успешно приводит к нужному результату.