Это не инклуд, а LFD или, в простонародье, читалка (Local File Disclosure). Так как контролируется весь параметр $url, можно и в SSRF, но раз это окунь нашёл, то думаю оператору окуня это ни о чём не скажет Так вот, конкретно через эту уязвимость залиться нельзя, но можно почитать другие файлы на сервере и продолжить атаку через них.