Dehogyis. A webszervernek kéréseket küldesz, ha nem jól kezeli a kéréseket (bugos), akkor olyan dolgokat is meg lehet vele csináltatni, amit az írói nem akartak. De ez még nem jelenti azt, hogy root lennél, ezen a ponton még csak a webszerver nevében tudsz futtatni valamit. Mondjuk ha ügyes vagy, akkor egy shellt össze tudsz szedni a webszerver nevében (ráveszed egy exec(/bin/sh)-ra), amit a HTTP socketon keresztül tudsz távirányítani. Na ezen a ponton nagyon "hasznos", ha a webszerver usere el tud érni setuid root-os programokat, amik arra számítanak, hogy az őket meghívó valaki nem lesz gonosz hozzájuk, azaz nem védik magukat abból az irányból, "hiszen csak a webszerver hívhatja meg őket, benne pedig megbízunk".