Это не Code Injection, а Arbitrary Class Instantiation или в какой-то мере Arbitrary Object Injection. Что тоже неплохо, но не в текущем кейсе, так как метод жёстко прописан. Минимальные шансы есть в случае вайт-бокса, и то, с надеждой на какой нибудь походящий класс с похожим методом или __callStatic(). А дальше смотреть по коду, на что можно повлиять. Если есть другая поверхность атаки, то я предпочёл бы не тратить время здесь, так как шанс на успех очень мал.