Die Schwachstelle betrifft Flowise, eine Anwendung mit grafischer Oberfläche zum Zusammenstellen von Abläufen für große Sprachmodelle per Drag-and-Drop. Der Fehler liegt im sogenannten MCP-Adapter, der Befehle für lokale stdio-Server unsicher verarbeitet. Über die Konfiguration „Custom MCP“ in der Arbeitsfläche kann ein angemeldeter Benutzer einen neuen MCP-Server vom Typ stdio anlegen und dabei einen beliebigen Befehl hinterlegen. Zwar existieren Prüfungen gegen Befehlseinschleusung und gegen unzulässige Dateizugriffe sowie eine Liste vermeintlich sicherer Befehle, doch diese Absicherung greift zu kurz: Ein erlaubter Befehl wie der Paketstarter lässt sich mit zusätzlichen Argumenten kombinieren, die wiederum eigenen Code starten. Dadurch kann ein authentifizierter Angreifer beliebige Befehle auf dem darunterliegenden Betriebssystem ausführen. Betroffen ist damit jedes System, auf dem Flowise läuft und auf das ein Angreifer mit gültigem Zugang gelangt.