Gracias sysdebian veo que tienes mas o menos el tema controlado, te puedo dar mas datos, no puedo auditar todo lo que hay en el servidor, cualquier web puede tener un fallo de seguridad, lo que hacen como tu bien dices suben una shell, y ejecutan lo siguiente:

/index_.php?act=ls&d=/home/user/public_html/&sort=0a

Simplemente cambian user por el nombre de usuario que quieran que este en el server acceden, lo he estado mirando tambien en hosting como arsys, hostalia, etc... y tambien tiene el bug de bypass, el equipo de seguridad nuestro de PerformSec, hemos pensado en hacer los siguiente a ver que opinais:

Lo primero modificar el httpd.conf y cambiar FollowSymLinks por SymLinksIfOwnerMatch, tambien habria que ver si la directiva AllowOverride Options esta habilitada,
ya que con eso se puede hacer un .htaccess que bypasee toda la seguridad del server, por ejemplo el safe mode on.

Tambien pense en instalar basedir, suexec o suphp y suhosin, para evitar que cada usuario no pueda abrir carpetas que no sean de su cuenta.

Pero necesito mas opiniones, es un bug bastante peligroso y que muchas empreas de hosting lo tienen al descubierto.

Un saludo