При загрузке файла с FTP-сервера не проверяется имя файла на наличие в нем "../", следовательно, злонамеренный FTP-сервер может изменить имя файла таким образом, что файл окажется в любом месте (например в "C:Documents and settingsAll UsersStartMenuProgramsStart"). Хотя Internet Explorer и показывает полностью имя файла с символами "../", может возникнуть ситуация, при которой пользователь не обратит внимания на это.
Источник