При загрузке создается файл, открытый на запись любому пользователю, который в дальнейшем запускается на выполнение.
vulners.com/securityvulns/securityvulns:doc:350