Cita: Si en el formulario alguien poner rm- f directorio u otro comando no pasa nada ya que el script que recibe ese parametro da un error. el scrip espera recibir un usuario y contraseña, si en el campo contraseña pongo un comando no hace nada.
El problema no es lo que el script espera sino lo que la shell interpreta.
Con el texto correcto, se podría hacer que tu script nunca se ejecutara y en su lugar disparar otro comando, solo es cuestión de armar la sintaxis correctamente para que eso ocurra.
Este tipo de ataques se llama
shell-injection y es de los mas peligrosos. Con una linea de código pueden literalmente vaciarte el servidor y hacerte perder todo.
Tu has lo que quieras, estas avisado.