Razvijalci vtičnikov (plug-in) so privzeli, da globalna spremenljivka $phpbb_root_path vsebuje pot do namestitve phpBB. Ker lahko vtičnike poženemo prek naslova URL s poljubnimi parametri, lahko napadalec preusmeri pot do korenskega imenik phpBB (na primer z izvedbo ukaza /plugin.php&phpbb_root_path=zlobnez.si).