Mình dùng Tamper Data để sửa gói test.php.txt thành test.php thì vẫn xác nhận upload thành công. Người dùng có thể khai thác để up shell trong nhiều trường hợp.