Sin datos .. sin ver el código .. o que usó (tal vez PHP-Nuke o cosas así?) no se puede por donde "entraron" ..

Principalmente los "hakeos" desde PHP son ocasionados por:

1) No filtrar ni validar variables externas según el método esperado o rango/tipo de dato que se requiere.
2) Si usas Base de datos: "SQL inyection" (lo mismo que el punto 1 ..no filtrar variables externas)

En fin .. todo se resume a que se debe filtrar toda variable externa según el rango que requiera, tipo o método.

Tambien influye la configuración de PHP .. PHP es altamente configurable. Se puede dejar a PHP muyy permisivo o altamente restriccitvo ("safe mode"). Hay que encontrar un equilibrio entre lo que tu necesitas (para tus aplicaciones) y en que puede afectar la seguridad de tu própio servidor. Sin olvidar tu "programación segura" de tu código.

Pero, .. si metes en la "cocktelera" .. PHP mál configurado o demasiado permisivo y una pesima o nula validación de variables externas .. puedes tener ahí un coktel "molotovf" (o como se escriba xD).

Ejemplo ...

Si haces algo tipo:

nose.php?url=pagina.php
<?
include($url);
?>

sería altamente peligroso .. Si a eso le sumas que tienes tu archivo de configuración tipo: config.inc y haces:

nose.php?url=config.inc

ya tendriamos ahí los datos de configuración de tu aplicación donde tal vez guardas los datos de conexión a tu Base de datos: usuario/contraseña ...

Pero, .. si ubiera filtrado esa "$url" (variable) y sólo acepto el rango de páginas que quiera .. ya no podría hacer ese "include" malicioso.

¿Como solucionas todos esos problemas?:
1) NO confiando en NADA que venta externo a tu aplicación (por eso hay que -siempre- filtrar tus variables.
2) Conocer mas sobre como funciona PHP .. el sistema de archivos de un servidor .. SQL (para evitar el "SQL inyection" si trabajas con Base de datos) .. etc.

El supuesto "hacker" no es más que alguien que sabe algo más que tu y pasa por tus "validaciones" que pueda hacer.

Un saludo,