При вызове внешнего приложения не проверяются шел-символы в воде пользователя.
vulners.com/securityvulns/securityvulns:doc:2076