PHP es un lenguaje que corre en el servidor, no debe haber forma de que cambien eso a menos que tenga información del nombre de usuario y contraseña. También puede haber alguna forma si el usuario tiene la capacidad de ingresar algún archivo al servidor y no haz verificado el tipo de archivo. Eso es si la persona tiene la capacidad de subir archivos al servidor.