Закрыв fd 0, затем открыв его как /proc/(PID)/mem, и сместившись по нужному адресу, можно вызвать внешнюю suid-программу, можно "заслать" вызванному процессу на стандартный ввод данные из его собственной памяти.
vulners.com/securityvulns/securityvulns:doc:1772