Die Schwachstelle betrifft das Starter-Kit @akoskm/create-mcp-server-stdio, mit dem sich MCP-Server auf Basis des StdioServerTransport aufsetzen lassen. Das vorgegebene Grundgerüst des Servers ist so geschrieben, dass es bereits in der mitgelieferten Definition und Implementierung einzelner Werkzeuge anfällig für das Einschleusen von Befehlen ist. Konkret stellt der erzeugte Server das Werkzeug which-app-on-port bereit, das ermitteln soll, welche Anwendung auf einem bestimmten Port lauscht. Dafür greift es auf die Node.js-Funktion exec zur Ausführung von Kindprozessen zurück und setzt den Befehl durch einfache Zeichenketten-Verkettung mit der übergebenen Eingabe zusammen. Da exec den übergebenen String über eine Shell ausführt, kann nicht vertrauenswürdige Eingabe eigene Shell-Befehle einschmuggeln (Command Injection) und auf dem System ausführen, auf dem der MCP-Server läuft. Betroffen sind Projekte, die ihren Server aus diesem Starter-Kit ableiten und den verwundbaren Code übernommen haben.