Depende del tipo de base de datos (MySQL, Postgres, Oracle, etc.) y los privilegios del usuario de la base de datos.
Si la aplicación se conecta a la base de datos utilizando una cuenta de administrador, generalmente es posible la ejecución del código. Es sencillo en SQL Server, usando xp_cmdshell. Otras bases de datos requieren técnicas más involucradas. SQLmap , la herramienta de explotación de SQL más popular, menciona esto:
Support to execute arbitrary commands and retrieve their standard output
on the database server underlying operating system when the database software
is MySQL, PostgreSQL or Microsoft SQL Server.
Al menos para MySQL, creo que utiliza el truco de escribir en un archivo PHP mencionado por Fleche.
Desde el punto de vista de la defensa, esta es la razón por la que nunca debes tener tu aplicación conectada como administrador.