Не комментируются shell-символы в запросе пользователя, что делает возможным выполнение кода на сервере.
vulners.com/securityvulns/securityvulns:doc:568