没对一些字符过滤造成漏洞。 dotnot百科http://baike.baidu.com/view/1678378.htm

1. IIS6.0+03 直接传x.asp;x.jpg  也可建X.ASP文件夹
2.　如果上传目录没有执行权限，再次利用重命名功能可以，重命名名字加上 ../　可以实现文件移动到上级目录，这样就可以突破上传目录没执行权限问题
3.　文件上传处有个高级设置，可以自定义上传格式，如果disable，可以自己用chrome把disable去掉，JS控制的。

新版本已经修复了，老版本好像没找到关于类的版本号说明,所以具体哪个版本不清楚-_-

作者： 路人甲