При "особых обстоятельствах",можно и инклуд в php через инъекцию провести,и файлы качать,да вообще что угодно,но это зависит от кода,и "особых обстоятельств".
А до тех пор,пока мы не увидим уязвимого кода, ничего конкретнее сказать нельзя