Допустим есть страница www.site.com/index.php?page=news и возможна РНР source code иньекция через параметр page. Заливаешь на сайт файл, например avatar.jpg, в котором пишешь PHP код. Тогда выполняешь свой код:
www.site.com/index.php?page=<путь_к_файлу>/avatar.jpg

Сценариев много и все зависит от конкретного сайта.

Не я имею ввиду через файл на серваке жертвы.

Ну если они в css запихнут скрипт и его можно проинклюдить - можно.
Или настроят сервер на выполнение файлов *.css как скрипты css.
Но обычно не запихивают и не настраивают.
exe - тоже может быть скриптом (скомпиленым).

__________________
+ (это не крестик, это плюсик!)
__________________
•
•
•

первый раз слышу..
пример можешь привести

блин просто расширение exe можно впихнуть апачу и он будет его считать например пхп скриптом (см httpd.conf ) и не обязательно скомпиленым

и как это сделать?

Руками...

Mobile - ты прав!