не мог бы кто-нибудь доходчиво объяснить как использовать эту у язвимость в версии 2.0.20

http://www.securitylab.ru/vulnerability/source/267550.php

вкратце по пунктам, что там написано
Удаленный юзер может:
1) Забить серв, форум не удаляет залитые аватары.
2) Использовать заливку аватара как прокси, подставляя в Url аватара нужный урл.
3) встроить пхп код в аватару.

и что это может дать?

2Gianni, тебе ответили в посте выше.