Тоже придерживаюсь подобной методике, тут нужно понимать саму природу уязвимостей, т.е имеет смысл изучить функции пхп, какие могут привести к RCE, инклуду и т.д. Естественно, также, имеет смысл написать свой скриптик для автоматизации поиска по регулярным выражениям, а там уже анализировать структуру вызова, самое вкусное тут наверное - это набор этих регулярок, за всем не уследишь, а профитные показывают результат!!!