Если ты следишь за лентами эксплойтов, то, наверняка, не должен был пропустить уязвимость популярнейшего менеджера баз данных MySql phpMyAdmin версий до 2.11.9 (http://www.gnucitizen.org/static/blog/2009/06/phpmyadminrcesh.txt).
Уязвимость заключалась в том, что скрипт установки ./scripts/setup.php вообще не проверял пользовательские данные, которые затем записывались в конфигурационный файл.
Эксплойт был всем хорош, кроме того, что администратор уязвимого хоста должен был вручную создать директорию ./config и дать ей права на запись (именно туда должен был записываться ядовитый конфиг), что на практике встречалось крайне редко. Настало время исправить это недоразумение.