Mira, si yo tengo esto:
Código PHP:
$foo = '{candy}';
$bar = str_replace('{candy}', '<?php include("ok.php"); ?>', $foo);
Lo único que pasaría es que reemplaza el valor por la cadena de código, que ya no es código ejecutable sino una cadena cualquiera.
Necesitas ejecutar realmente dicho código, capturar el resultado y usar dicho resultado para reemplazar correctamente.