Lamentablemente como dice FuLano .. una "mala" programación que no valide en que "rutas" se puede uno mover en la aplicación en conjunto con una "mala" configuración del servidor .. pueden hacer "estragos" en esos servidores.

Todo esto se solventa desde PHP ajustando: open_base_dir() al directorio de trabajo del sitio y .. de ahí no se saldrá PHP (dará un hermoso error si pretendes hacer un "include()" o un "fopen()" o similar a un directorio furea de ese directorio definido en esa directiva). Esa sería una de las "restricciones" que se puede ajustar y "personalizar" .. (pero hay más .. como "safe_mode" y cosas así).

Un saludo,