Die Schwachstelle betrifft Langflow, ein Werkzeug zum Erstellen und Betreiben von KI-gestützten Agenten und Arbeitsabläufen. Sie sitzt im Baustein „CSV Agent", der intern fest die Option zum Ausführen als gefährlich eingestufter Programmcode aktiviert hat. Dadurch wird automatisch ein in LangChain enthaltenes Werkzeug freigeschaltet, das Python-Code direkt auf dem Server ausführt. Ein Angreifer kann diesen Umstand über sogenannte Prompt Injection ausnutzen: Er schleust manipulierte Anweisungen in die Eingaben ein, die der KI-Agent verarbeitet, und bringt das System dazu, beliebigen Python-Code sowie Betriebssystembefehle auszuführen. Im Ergebnis erlangt er die vollständige Ausführung von Schadcode aus der Ferne (Remote Code Execution) und damit die Kontrolle über den betroffenen Server. Besonders heikel ist, dass die gefährliche Code-Ausführung nicht erst aktiviert werden muss, sondern in dieser Komponente von vornherein voreingestellt war – der Angriffsweg steht also offen, sobald der CSV-Agent-Baustein genutzt wird.