При вызове внешней программы с именем файла не проверяется наличией shell-символов в имени файла.
vulners.com/securityvulns/securityvulns:doc:1407