Pues lo más probable es mediante un uploader. Hay que revisar el tipo de archivo que suben los amigos. Y aunque lo filtres medio bién, si te cuelan una imagen con código php de por medio, podrán ejecutarlo mediante un LFI...
Y la otra es que se mediante un RFI. No hay que meter parámetros del usuario directamente en una función include.
Así que revisa el uploader (si tienes) y los includes.
)