Hallo MB,
Jörg meint, dass ein Angreifer über deine index.php (fast) beliebige Dateien von deinem Server inkludieren könnte, wenn du die Eingabe unzureichend (in deinem Code gar nicht) überprüfst.
Weitere Informationen: Sicherheit für Websites
Gruß
Julius