Método de teste: Crie uma pasta test.asp no FTP. O nome da pasta é test.asp. Carregue um hack.jpg nesta pasta. O conteúdo deste jpg pode ser diretamente <%=now%>. acesse remotamente este hack.jpg e você descobrirá que ele também é executado como um arquivo ASP! Obviamente, desde que o programa do seu site permita aos usuários criar pastas e fazer upload de imagens, os hackers podem fazer upload de imagens para serem executadas como cavalos de Tróia ASP.
Solução: Ao definir a opção de permissão de execução, altere diretamente o diretório com permissão de upload e cancele a permissão de execução do ASP para resolver este problema.