Ja,
die scripts sind passwortgeschützt (Zugang mit unterschiedlichen Berechtigungen). A hat Zugriff auf alle Dokumente im Verzeichnis X, B hat nur Zugriff auf einzelne Dokumente. Wenn B aber den Verzeichnisnamen kennt, kann er mit etwas Fantasie Dokumentnamen (weiterer möglicher Dokumente im Verzeichnis) erraten, und direkt über die Adressleiste (unter Umgehung der php-Passwortabfrage) zu einem Dokument kommen, für das er keine Berechtigung hat.
Gruss