if (in_array($_GET['series'] . '.jsonld', scandir('.'))

bringt einen dann nicht um den Schlaf?

Doch, durchaus. Der Parameter gehört komplett auf seinen Gültigkeitsbereich sanitized. In Deinem Fall: nur Ziffern und Buchstaben.

Samt Hinweis: bitte auf keinen Fall im selben Ordner '.jsonld' ablegen, die nicht öffentlich zugänglich sein sollen.

Allerdings sehe ich bei Github aktuell nur "$files = scandir('.');"