Die Schwachstelle betrifft NocoBase, eine No-Code-/Low-Code-Plattform zum Erstellen von Geschäftsanwendungen. Sie steckt im sogenannten Script-Node der Workflow-Funktion, der von Benutzern bereitgestellten JavaScript-Code ausführt. Dieser Code läuft eigentlich in einer abgeschotteten Sandbox auf Basis der Node.js-VM, deren Zugriff auf Systemmodule über eine Freigabeliste eingeschränkt ist. Der Fehler liegt darin, dass das in die Sandbox eingereichte console-Objekt über seine internen Eigenschaften für die Standardausgabe und Standardfehlerausgabe direkte Verweise auf Stream-Objekte aus der Host-Umgebung offenlegt. Ein angemeldeter Angreifer kann sich entlang der Prototypenkette dieser Objekte zurückhangeln, dadurch aus der Sandbox ausbrechen und schließlich beliebigen Code mit Root-Rechten auf dem System ausführen – also mit den höchsten Rechten und voller Kontrolle über den Server. Voraussetzung ist ein gültiger Zugang zur Plattform mit der Möglichkeit, Workflow-Skripte anzulegen; eine vorherige Anmeldung ist somit erforderlich, eine besondere Benutzerinteraktion darüber hinaus jedoch nicht.