чисто теоретически, на практике еще не проверял....
Предположим у нас есть заведомо известный движок, и мы знаем как в нем заливать шелл, к примеру есть факт редактирование файла *.php
впариваем админу xss, которая спарсит у админа cookie, и с его куками пропускает до файла который производит запись файла *.php, нам остается только составить форму данных для запеси и передать скрипту.