Dans le cas d'awstats (qui est assez représentatif de ce type d'attaque, vous l'aurez compris), la méthode est simple. Il suffit de modifier le paramètre configdir dans l'url appelant le script pour exécuter une commande sur le serveur distant :

Utilisation normale :
http://www.mondomaine.com/cgi-bin/awstats.pl?configdir=mondomaine.com

Utilisation « pirate » :
http://localhost/cgi-bin/awstats.pl?configdir=%20|%20/usr/bin/exemple%20|%20

Il existe de très nombreux autres exemples et certains plus complexe par exemple :
http://www.mondomaine.com/cgi-bin/display.exe?LG=fr&SITE=&ARBO=html-fr&MODULE=../../../../../../
etc&TEMPLATE=passwd&R01=****

On affiche alors le fichier /etc/passwd contenant (parfois) les mots de passe. (Encrypté certes, mais il suffit ensuite de bruteforcer le fichier pour y retrouver des mots de passe en clair).

Le défaut provient du fait que les vérifications des paramètres lors de l'exécution du script sont insuffisantes. Ainsi le script prend en compte des commandes ou des chemins, ce qui ne devrait pas être le cas. Parfois ce sont juste les réglages par défaut qui sont mauvais comme dans l'exemple suivant sous domino :
http://www.mondomaine.com/extranet.nsf/$defaultView?OpenView&ExpandView