bizdb-search.cgi запускает внешнее приложение передавая в командной строке аргумент, вводимый пользователем не проверяя его на наличие мета-символов. Это позволяет выполнить любое приложение на сервере.
vulners.com/securityvulns/securityvulns:doc:63