Muhtemelen Cgi Telnet isimli shell htaccess dosyasında oynamalar yaparak shell'i jpg olarakta çalıştırabiliyorlar.

a=domainsuser uzantısıylada muhtemelen sunucudaki siteleri listelemişler. Ordanda sizin sitenize tıklayarak gelmiş olabilirler o yüzden ref olarak belirtilmiştir.