Wordsmith 1.0 RC1中的config.inc.php存在PHP远程文件包含漏洞,当全局注册(register_globals)被激活时,远程攻击者可以借助_path参数的一个URL执行任意PHP代码。