В срочном порядке отключите возможность загружать файлы.

Включение этой возможности позволяет пользователям загружать произвольные файлы (в т.ч. php скрипты) к Вам на хостинг.

К сожалению времени внимательно посмотреть на этот модуль нет, но короткий взгляд на него позволяет нам сказать что написан он мягко говоря весьма коряво с точки зрения безопасности. Анонимный пользователь может добавлять файлы даже если это запрещено в конфиге. Может и что-то ещё есть... Дыра в безопасности не от ошибок при кодинге, а просто от того, что не сделано ряд обязательных ограничительных мер. 

Долго думали что делать узнав об этой дыре, но решили в конце концов ограничиться предупреждением у себя на сайте и извещением тех людей кто подписан у нас на новости.

Публиковать сам способ взлома, конечно, не будем. "Пионерам - бой" (с)