Auskunft geben die Access Logs, auch wenn ich da selber noch nichts aufschlussreiches gefunden hab, da Script ja beim normalen Aufruf ausgeführt wird von irgendeinem User der z.b. grad am Arthur spielt.

Die Lücke wird auch ausgenutzt durch eine Datei Namens "gifimg.php" die sich in die images Ordner von Scripten platziert und beim Aufruf nen Error 404 vortäuscht. In Wahrheit aber erlaubt die Datei, fremden PHP Code auszuführen.

Zudem baut sich dann in so ziemlich jedes Dokument welches index. oder config. heisst der Schadecode ein, welcher mit

PHP-Code:
eval(base64_decode
beginnt.