Что за бред? Если в качестве пользовательских параметров не передаются данные, используемые для инклуда, это не уязвимость, а лишь раскрытие путей.