Обращение к CGI-файлу с именем содержащим название DOS-устройства и длинным расширением приводит к запуску cmd.exe.
vulners.com/securityvulns/securityvulns:doc:2449
vulners.com/securityvulns/securityvulns:doc:2706