В скриптах огромное количество SQL инъекций. + файл sql.params можно скачать 
Просто пишем site.ru/sql.params и получаем доступ к базе сервера.
Пример инъекции:
код:
Code
$nick=$_POST['nick'];
$password=$_POST['password'];
$z=mysql_query("SELECT * FROM `$mysql_table` WHERE `Name`='$nick' AND `Password`='$password'");
использование:
POST запрос:
Code
nick=1&password='; *инъекция* --
И такого добра там валом. Если юзаете эту UCP, то будьте готовы, что сервер будут ломать весьма часто. 
