Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: Zen Cart 1.3.8
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP
сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки
входных данных сценариями initsystem.php и english.php. Удаленный пользователь
может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web
сервера.
Эксплоит:
http://localhost/path/admin/includes/initsystem.php?loader_file=[LFI]
http://localhost/path/admin/includes/languages/english.php?_SESSION[language]=[LFI]