Die Schwachstelle betrifft Flowise, eine Oberfläche, mit der sich per Drag-and-drop Verarbeitungsabläufe für große Sprachmodelle zusammenstellen lassen. Sie steckt im Baustein „CustomMCP", über den Nutzer die Verbindungseinstellungen zu einem externen MCP-Server eintragen. Die dabei eingegebene Konfigurationszeichenkette wird ausgewertet, um die Serverkonfiguration aufzubauen – doch in der Funktion convertToValidJSONString wird die Benutzereingabe ohne jede Sicherheitsprüfung direkt an den Function()-Konstruktor übergeben und als JavaScript ausgeführt. Dadurch entsteht eine Möglichkeit zur Remote-Code-Ausführung: Eingeschleuster Code läuft mit den vollen Rechten der Node.js-Laufzeitumgebung und kann auf gefährliche Module wie child_process und fs zugreifen, also Systembefehle absetzen und auf das Dateisystem zugreifen. Damit lässt sich beliebiger Code auf dem Server ausführen, auf dem Flowise betrieben wird, und das System weitreichend kompromittieren.