Al dejar simplemente como parametro del include a $web dejas que puedan llamar a cualquier archivo incluyendo tambien los que esten fuera de tu web poniendo home.php?web=nombredel.archivo
en este caso lo que han hecho a sido llamar a un archivo en php preparado que a ejecutado la instruccion que hace que el host se baje un archivo y lo ejecute.
dos cosas a tener en cuenta al tener activo el register globals tienes que andar con ojo con las variables que dejas sueltas ya que te las puede establecer desde la direccion como a sido el caso y la otra seria que a no ser que necesites especificamente ir a un fichero de fuera de tu web dieras una ruta dejando $web solo como el fichero en cuestion que, sin poner otras medidas sigue siendo peligroso porque te la pueden liar, siempre sera menor el dañor que lo que pueden hacer si lo dejas como esta.

En cuanto a la forma de recibir $web no se en base a que la estableces en tu web para poder decirte alguna forma alternativa para hacer lo que haces.

Un saludo.