Stored XSS и fetch

Есть запись из отчета по проверке кода (PT Application Inspector):

На точке входа функция:

public function executeQuery($sql)
{
 $data = array();
 $result = $this->getMySQLResult($sql);
 if ($result != null && $result->num_rows > 0) {
    while ($row = $result->fetch_assoc()) {
        $data[] = $row;
    }
    $this->freeResult($result);
 }
 return $data;
}

На точке выхода - вывод шаблона:

echo $this->display('declar-tickets.tpl');

Совершенным образом не могу понять, в чем уязвимость и что с ней делать? Дел с XSS раньше не имел. Есть у кого-нибудь идеи или опыт?