"7.) А этот способ предложил нам |qbz|:

Цитата:

Например у нас есть какая-нить CMS-ка или даже просто самописный двиг, в котором где-то, куда-то иногда отправляются письма. Например, с активацией регистрации и так далее. Дело в том, что такие письма могут быть локально сохранены на nix-системах. Если рассматривать как пример форму активации аккаунта, то введем, например, как логин eval($_GET['c']); а как свое мыло впишем apache@localhost. Таким образом письмо будет отправлено на тот же демон хттпд и сохранено где-то в /var/mail с именем юзера хттпд. Думаю далее действия очевидны, имея, например, локальный инклуд мы можем прогрузить шелл инклудя письмецо с передачей кода загрузки шелла в параметре $_GET['c'].

То есть объясняя другими словами, вы в админке через отправку почты отправляете её на локальный хост, и это сохранится в "спец.папках", затем через уязвимость PHP Include мы инклудим этот файлик и таким образом можем воспроизвести PHP сценарий. Для домохозяек, PHP Include - это загрузка какого-либо файла (в нашем случае PHP скрипта) на страницу пользователя, как то так)) Подробнее можете погуглить...."

http://forum.antichat.net/showpost.php?p=2935615&postcount=1