1. Уязвимость существует из-за недостаточной обработки входных данных в параметре «from» в сценарии admin/all_users.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
2. Уязвимость существует из-за отсутствия проверки входных данных в сценарии admin/x_image.php. Удаленный пользователь может загрузить произвольный PHP сценарий в директорию «imagebank» и выполнить его с привилегиями Web сервера.
