opennet, "Неисправленная 0-day уязвимость в движке для создания web-форумов vBulletin"
Уязвимость присутствует в обработчике "ajax/render/widget_php", который допускает передачу произвольного shell-кода через параметр "widgetConfig[code]" (просто передаётся код для запуска, даже не нужно ничего экранировать).

Аноним (4):
Потому что почему бы и не исполнить данные, пришедшие извне. Действительно.

Аноним (5):
Ну так компьютеры для того и изобрели, чтобы выполнять код, который им дадут люди. Считаю, что не уязвимость, а удобная фича.

https://bash.im/quote/458067