Файл test.php раскрывает пути, но это я так понимаю временный файл.
readme.txt, db.sql - тоже какие-то сомнительные файлы с описанием
Админка для счетчика counter/admin.php и снова сомнительный файл с инфой
counter/info.txt

Раскрытие путей в /subscribe/addemail.php в переменной email
И если в хидере запроса задать в User-Agent: client-ip: например 123456789
Так же если в кукисах PHPSESSID оставить пустой.

Вообщем ничего такого сверх интересного, а остальное уже написали выше.