Jörg meint, dass ein Angreifer über deine index.php (fast) beliebige Dateien von deinem Server inkludieren könnte, ...

und je nachdem, wie PHP konfiguriert ist, nicht nur von deinem eigenen, sondern auch von beliebigen anderen Quellen im Internet. Genau das zeigt Jörgs Beispiel eindrucksvoll.

Ah... jetzt verstehe ich was Jörg meint. Ich Werd die ein wenig konreter machen.