A tamadonak meg mindenkeppen a parametereken keresztul kene tamadnia, mert mast nem tud befolyasolni.
A CGI-knek standard esetben is átad a webszerver pl. environment változókban olyan dolgokat, amik a kérésből származnak. Plusz a webszerverekben is szokott lenni bug, tehát nem zárható ki, hogy a támadó olyasmire veszi rá a webszervert, amit az rendes körülmények között nem csinálna.