Вызов внешней программы со строкой введенной пользователем позволяет выполнить любое приложение на сервере.
vulners.com/securityvulns/securityvulns:doc:857