Aqui encontre algo sobre ese codigo:
http://forums.oscommerce.com/topic/3...d-please-help/
Parece que es un fallo de seguridad para ejecutar clicks en otras paginas, probablemente paga ganar pasta. No parece un bug critico en el que hayan averiguado tu pass, logicamente yo las cambiaria YA de todas formas!
Aqui aconsejan poner los CHMOD de las carpetas a 755 en vez de 777 (muy peligroso)
http://forums.digitalpoint.com/showthread.php?t=1316397