nun folgende Zeile austauschen :

my $f = "the_file.txt";
gegen :
my $f=param('template');

Mit Sicherheit nichts neues, aber auch eine Lösung, anderen

.. aber mit Sicherheit unsicher! Wer einen Dateinamen vom CGI entgegennimmt, verdient es wohl nicht anders, als von bulgarischen IT-Experten den Datenbestand gelöscht zu bekommen ..