ну, не считая того что у авторов был и остался очень странный подход к пониманию, что есть bulletin board (для нормального общения эти форумы непригодны абсолютно, вот для торрент-трекера, где каждая тема - отдельный торрент, а комментарии незачем и читать вообще - самое то, и примерно для этой цели всю жизнь подобные вещи и использовались) - не вижу почему "был". Движок как движок, авторы не виноваты в дырах php by design.

Пихание во все места, принимающие _файл_, вместо файлов дурацких псевдоурлов без отдельного апи для этого - именно дыра by design. Как бы ни старались аффтары всего на свете софта подстелить там соломки - изобретательные разработчики всегда их переплевывают - что, собственно, и случилось с phar://
Ты пытаешься выяснить, существует ли файлик вообще (какое там открыть, не говоря уже о исполнить)  - ан, нет, внезапно, он становится твоим кодом. Прекрасный язык, чо.