任意命令执行是十分常见的漏洞。小米的路由器可以通过这种方式拿到shell。小米的网关可以通过这种方式开启telnet。

千万不要以为管理密码能够挡住攻击者。几年前一个大漏洞：搜狗输入法的安装目录的权限被误设置为所有人可修改（正常应当只允许管理员输入密码后修改），没有管理权限的攻击者可以将搜狗输入法的更新程序替换为自己的任意程序，当管理员正常登陆时，若搜狗输入法的自动更新启动，该替换后的程序就能执行并获得管理员权限，从而实现任意代码执行。
--
FROM 111.201.154.*