Механизм неясен. Там говорят что в профиль атакующего была залита ава с расширением .jpg, но состоящая полностью из php-кода. Каким образом инклудится еще не разобрались. Во все php файлы был дописан шифрованный base64+gzinflate фрагмент кода и создан файл style.css.php . Автор топа вроде вычистил все, но зашел в профиль и все вернулось.

з.ы. Ушел качать сырцы смф1.1.8. Вернусь не скоро. реверс.