Quizás una de las alertas más críticas que se pueden generar, esta alerta incida que a través de la aplicación es posible ejecutar comandos directamente en el servidor donde se encuentra alojada la página web, existen múltiples soluciones, al igual que la inyección de código los inputs deben validar todos los caracteres ingresados, de igual manera si la aplicación permite subir archivos, estos se deben validar por extensiones y en lo posible no alojarlos directamente en el mismo servidor.