Я тоже думал что это просто проверка. Но так как сайт автора забанен чтобы повторить ваш опыт мне пришлось поднимать вебсервер и подменять домен через host. Далее я решил подсунуть вместо PrivilegeUser.php свой код с запуском notepad.exe и не сделал ни какой проверки get-параметров. И тут вдруг вместо одного запустилось два нотпада. Собственно, эксперементируя далее выяснил что второе исполнение кода происходит при запросе PrivilegeUser.php?key=IDпользователя
Запрос идет не только на PrivilegeUser.php?key=Universal, но также и на PrivilegeUser.php?key=IDпользователя. И по второй ссылке также: если есть код то он выполнится.
Тоесть потенциально автор может выполнить произвольный код только у определенного пользователя…
Я тоже думал что это просто проверка. Но так как сайт автора забанен чтобы повторить ваш опыт мне пришлось поднимать вебсервер и подменять домен через host. Далее я решил подсунуть вместо PrivilegeUser.php свой код с запуском notepad.exe и не сделал ни какой проверки get-параметров. И тут вдруг вместо одного запустилось два нотпада. Собственно, эксперементируя далее выяснил что второе исполнение кода происходит при запросе PrivilegeUser.php?key=IDпользователя
Тоесть потенциально автор может выполнить произвольный код только у определенного пользователя…