Взломать сайт, запустив на нём произвольный php-скрипт, можно через сервисы загрузки на сайт разных картинок, файлов, и т.п. Если - они не проверяют расширение загружаемого файла и просто кладут файл с исходным именем на сервер. Но, если чуть выше есть .htaccess с "Deny from all", то запустить загруженный php-файл не получится. Не беда - сначала грузим .htaccess с "Allow from all", а потом уже свой скрипт. Ну и, ещё надо знать путь к этой директории, конечно.

Это я сегодня так поломал свой движок файлового хостинга :) А потом защитил.