Merhaba,
Contact Form 7 eklentisinde dosya yetkilendirmelerinde hata olursa evet hacklenmesi mümkün. 3,5,3 ve 5,0,3 versiyonlarında ise özellikle 3,5,3 de direk shell upload mümkündü. Ama bu güne kadar bu eklenti yüzünden hackleneni hiç duymamıştım.