Баг в админке сидж движка GB. Проверял на версиях 3.0, 3.1, 3.2.

Для проведения атаки необходимо иметь доступ в админку.

Заходим в админку. Выбираем Settings. Выставляем значения GB CJ Pro Key
ЕСЛИ maqic_quotes_qpc=OFF
10293\
ЕСЛИ maqic_quotes_qpc=ON
10293"

и

Trader is Dead after Days
;phpinfo();$V98c4bb2d=7;//
Жмём Update Settings и радуемся.

Суть в том, что значения параметров фильтруются только на один символ " (двойная кавычка), скрипт её просто вырезает, всё остальное проходит и записываются в файл config.php, это позволяет нам экранировать родные кавычки в конфиге и внедрить свой код.

Главное не ошибиться и ввести всё правильно с первого раза, а то движок загнётся.