SQL Injection 
|########################################|
"#"#"#" PoC "#"#"#"
File : upload/plugins/sys/Install.php
mysql_query mysql_query("CREATE DATABASE `" . $dbname . "`"))
|########################################|
Attack Url : 
http://[host]/upload/install.php/save2
|########################################|
By : @wazehell