dondy, если проверка файлов по маске, то можно в .htaccess

AddType application/x-httpd-php .mp4 .etc

и шелл со своим расширением

или в файл eval/include с base64, накрайняк код пихнуть типа function bitrix_secure_code(...){...} и по кукам юзать т.е. в существующую ф-ию добавить ф-ию и ещё раз в другую ф-ию ф-ию + запутать проверками типа if (isset($bla)) и добавив else {die("Hacking attempt");} - вырежит - система перестанет работать.

__________________
Лучший способ защиты - это нападение!!!