С помощью модификации URL возможен доступ к интерфейсу администрирования без пароля администратора. Кроме того, возможно выступать от имени другого пользователя.
vulners.com/securityvulns/securityvulns:doc:584
vulners.com/securityvulns/securityvulns:doc:603
vulners.com/securityvulns/securityvulns:doc:915