Bem observado. No caso do vídeo do Erick, o vetor foi realmente o RCE nos Server Components. O que destaquei aqui foi a kill chain (o comportamento pós-exploração), que costuma seguir esse padrão independentemente da porta de entrada.

Mas sim, a falha partiu do React! É tenso pensar que alguém de alto escalão liberou uma versão oficial com uma brecha dessas para a massa de usuários.