Hocam bu konuda bilgilenmelisiniz mesela öncelikle dosya kontrolü büyük ihtimal shell'i öyle sokmuşlardır

PHP upload sınıfları kullanın ki güvenli olsun ve dosya yerini direk vermeyin yani .htaccess ile sahte url oluşturun