Schönes Beispiel:
/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
PHF wurde gerne als CGI zu Apache und NCSA HTTPD beigegeben. Das CGI überprüfte allerdings nicht so ganz was da als Parameter übergeben wurde. Retour kam bei obiger Zeile die Liste aller eingetragener Benutzer auf dem Server.
Eine schöne Quelle für CGI-Programmierstil findet man unter : http://www.w3.org/Security/Faq/www-security-faq.zip