Te comento el porque lo digo. Este "hacker" se ayuda de la sentencia INCLUDE de PHP, entonces mete el codigo maligno en la url y al ejecutarse la pagina PHP ese codigo va a parar al Include. Si esa pagina estuviera nombrada como .php.inc ese codigo no se ejecutaria y nunca llegaria al include puesto que no seria una pagina PHP y solo mostraria el codigo texto. Esto es lo que yo creo q sucederia pero no estoy seguro del todo asi que intentare hacer la prueba.

Otra cosa que me gustaria aclarar, esto solo se podria utilizar en el caso real del hacker puesto que utiliza esos scripts para entrar pero si utilizara una pagina PHP sin ser un script que se puede "ocultar" habria que hacer lo que les ha comentado Cluster o $thisone

Espero haberme explicado
Un saludo