なるほど・・・

/?-d allow_url_include%3DOn+-d auto_prepend_file
%3D../../../../../../../../../../../../etc/passwd%00 –n

設定の悪いWebサーバーでは、ユーザーが見えてしまいます。
ユーザーが見えると手当たり次第にユーザー名を入力することなく、存在しているユーザーだけでパスワードは辞書からのような感じでアタックできる!
「これは便利!」という事ではなく、無効なパラメータはさくっと切り落とすようなウェブを作りましょうという事です。