Este es un ataque comúnmente demostrado porque es fácil de explicar y entender.
La premisa es que la víctima hace algo como (ejemplo de PHP simplificado):
include( $_GET['file']);
Y el atacante puede pasar una ruta a un script php
en su servidor.
Mi pregunta es: ¿alguna vez has visto algo así o similar en el código de la vida real? No puedo imaginar qué tipo de requisito puede hacer que un programador incluya un archivo basado en la información del usuario.