Die Schwachstelle betrifft WeKnora, ein auf großen Sprachmodellen basierendes Framework zur tiefgehenden Dokumentenanalyse und zur semantischen Suche in Dokumentenbeständen. Der Defekt erlaubt eine Befehlsinjektion: Angemeldete Nutzer können in den Einstellungen für die MCP-stdio-Anbindung eigene Werte für den auszuführenden Befehl und dessen Argumente einschleusen. Diese vom Nutzer kontrollierten Angaben übernimmt der Server ungeprüft und startet damit Unterprozesse. Auf diese Weise lassen sich beliebige, vom Angreifer vorgegebene Befehle auf dem Server zur Ausführung bringen. Voraussetzung ist ein gültiges Konto, also ein bereits authentifizierter Zugang zur Anwendung – eine vorherige Anmeldung ist somit erforderlich. Betroffen sind Installationen, die diese MCP-stdio-Konfiguration zugänglich machen; über die eingeschleusten Prozesse kann ein Angreifer letztlich auf dem Hostsystem aktiv werden, auf dem WeKnora läuft.