Ну в прибавок могу отписать, что судя по ошибке, параметр 'a' возможно не фильтрует входящие данные, что может позволить инклудинг и запуск файла, тоесть любой php код, сохраненный в текстовом файле вероятно запуститса на сервере...это тока теоретическое суждение, верно ли или нет сказать не могу.

не известно одно, можно ли эксплуатировать уязвимость удаленно, уже ясно что локально можно..
Попрпбуй добавь к параметру 'a' http:// еси от фильтрует, то значит ток локально.