Kerentanan kode di atas terletak pada variabel $sub_page, yang dapat dimanipulasi untuk menyertakan path berbahaya misalnya /etc/passwd.
Selain itu, penyerang dapat menyertakan file PHP di luar direktori yang dituju (misalnya, ../../../../malicious_script), yang menyebabkan serangan arbitrary code execution.