No es que se ejecute solo es que alguien subio la shell y la ha ejecutado, es lo más probable.

Y si puede estar en cualquier carpeta, una shell puede dar acceso a todos los archivos, por resuirte el concepto de shell, es un administrador de archivos, file manager etc, es más ahora lo llaman así algunos, administrador de archivos hecho en PHP, puedes ver casi todo el server si php y apache no tienen las restricciones necesarias.

Lo bueno es que ver, no siempre es poder tocar, si los permisos están bien podrá ver muchas cosas menos lo de root, o sea si PHP se ejecuta con un usuario la shell solo podrá editar los archivos que pertenezcan a ese usuario, si tienes el asunto con mod_php ( DSO ) o sea sin suexec y suphp, la shell puede acceder y editar todos los archivos PHP de todos los usuarios.