Уязвимость (sql-inj) обнаружена мной в ?модуле статистики? движка ABO CMS, файл c.php находится обычно в корне веб-директории сайта, реально заюзать уязвимость можно в MySQL 4.1 и выше, так как в более ранних версиях нет возможности использовать подзапросы...

цена ABO CMS на офф. сайте достигает 30000 рублей.
На этом движке работают крупные инет-магазины, банки, и т.д.

вот сплоит ТУТ написанный на php для получения логина и хеша пароля первого пользователя... для получения других данных скрипт не сложно модифицировать...
Скрипт написан немного корявенько, т.к. писался на скорую руку, так что больно не бейте

__________________
Карфаген должен быть разрушен...