Die Schwachstelle steckt im sogenannten MCP-stdio-Transport von LibreChat, einer quelloffenen Chat-Oberfläche nach Vorbild von ChatGPT. Dieser Transportmechanismus startet externe Hilfsprogramme, indem er Kommandozeilenbefehle ausführt – allerdings ohne die übergebenen Befehle zu prüfen oder einzuschränken. Dadurch kann jeder angemeldete Nutzer über eine einzige Anfrage an die Programmierschnittstelle (API) beliebige Befehle einschleusen. Diese werden anschließend mit Root-Rechten ausgeführt, also mit den höchsten Systemrechten innerhalb des Containers, in dem LibreChat läuft. Ein Angreifer benötigt dafür lediglich ein gültiges Benutzerkonto, keine besonderen Berechtigungen; eine einzige präparierte Anfrage genügt, um die volle Kontrolle über die Laufzeitumgebung der Anwendung zu erlangen. Besonders kritisch ist, dass damit auch normale, nur schwach privilegierte Nutzer den Schutzwall zwischen Anwendung und Betriebssystem überwinden und das System der darunterliegenden Umgebung übernehmen können.