Hello,
den Ausdruck "normalerweise" solltest du in diesem Zusammenhang vergessen. Wenn IRGENDEINS deiner Scripte eine Lücke hat, durch die ein Angreifer Fremdcode einschleusen kann, ist alles, was "normal" ist, nicht mehr von Bedeutung.
Auf einem Shared Host muss die Lücke keinesfalls in tomgks eigenen Scripten stecken. Sie kann in allen Accounts versteckt sein. Irgendjemand wird sicher eine nicht abgesicherte Uploadmöglichkeit für Dateien (Bilder) in seinen Seiten haben.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg