El problema es que os archivos los han subido directamente a través de algún bug, o algún otro método directamente al servidor, saltándose la verificación del gestor de contenidos. Una vez subidos los han podido ejecutar y seguir escalando permisos y directorios.

Es por ello que queria evitar la ejecución de código php, con la idea de prevenir futuros ataques.

Saludos y gracias