Si tenés en tu servidor un script que usa la función highlight_file o show_source y no sos cuidadoso con los parámetros que le pasas cualquiera puede ver tus scripts. Ej:
Código PHP:
<?php show_source($_GET['i']); ?>
A $_GET['i'] se le puede asignar cualquier valor y así acceder a todos los scripts que tengas hosteados, pudiendo ver por ejemplo los datos para conectarse a tu base de datos.
Obviamente que evitarlo es muy fácil, basta con chequear el contenido de $_GET['i'].
Suerte
Fede