Есть участок кода на чужом сайте:

Содержимое http://site.ru я могу редактировать, то есть в переменной $data подконтрольный текст и он выводится на стороннем сайте.

Какая тут уязвимость, возможно ли выполнение произвольного кода или создание php файла на сервере или тут только XSS?

.