Уязвимости подвержены все форумы и системы использующие тег для отражения графики. В настоящий момент распространение получила следующая уязвимость. Злоумышленник создает вредоносный файл переименовывает его как картинку и добавляет его к вам на форум через BBCode. В результате картинка в его сообщении не откроется, но удаленный код выполнится! Таким образом, злоумышленник может выполнить либо XSS либо чего пострашнее, вплоть, до получения информации из конфиг файла!
Устранение:
На данный момен еще не придумали метод устранения этой уязвимости, единственное решение это отключить ", $text);
