А разве в папке modules/ не лежат файлы которые инклудятся файлом modules.php ?

Этот файл взависимости от введенного в адрес параметра, в данном случае параметр Forums, отображает тот или иной модуль, просто здесь сделали движок так что файл modules.php может управляет всеми модулями(т.е. если есть модуль гостевой книги то будет передан соотвествующий параметр и будут инклудится уже не файлы форума, а файлы гостевой книги), это сделано для удобства, а не для защиты!

не ну это ясно что через него грузятся все страницы форума -- фича в том что просто по ссылке они недоступны -- и получается что все известные баги и сплойты для phpBB нерво курят в углу --вот в чем дело

Это не защита В директориях лежит index.php скорее всего и идет Header("Location: ../../modules.php?name=Forums, т.к. это тебе не DLE, где модули грузятся вроде как из категорий(хотя там обычный модреврайт).