Hola!He estado probando lo que comentas con unas pruebas hechas por mí en mi máquina y no he logrado hacer que funcione correctamente.Me explico: con una extensión que no sea .php en el archivo malicioso(el que pongo yo en mi web),ya sea gif,jpg o directamente sin extensión,lo único que puedo hacer es ejecutar lo que ponga en el archivo sin poderle pasar parámetros mediante get.En cuanto cambio la extensión a .php puedo pasar parámetros,pero ocurre lo que comentas,que se ejecutaría en mi máquina...
Entonces mi pregunta es:qué configuración es necesaria para que esto funcione?mi configuración del php.ini está por defecto...
Bueno,espero haberme explicado bien...