Questo è un attacco comunemente dimostrato perché è facile da spiegare e capire.
La premessa è che la vittima faccia qualcosa di simile (esempio PHP semplificato):
include( $_GET['file']);
E l'attaccante può passare un percorso a uno script php
sul suo server.
La mia domanda è che hai mai visto qualcosa di simile o simile nel codice della vita reale? Non riesco a immaginare quale tipo di requisito possa far sì che un programmatore includa un file basato sull'input dell'utente.