При обработке поля From: не проверяется наличие метасимволов, что позволяет вставить шелл-команды в письмо.
vulners.com/securityvulns/securityvulns:doc:657
vulners.com/securityvulns/securityvulns:doc:693