Würde er das ganze per include, readfile oä. lösen, würde ich zustimmen, da so wirklich jede Datei auf dem Server, die passende Leserechte hat, ausgelesen werden kann; er benutzt jedoch Frames, da ist es doch egal ob er das Ergebnis "auswertet", wenn das Skript die Seite nicht anzeigt, ruft der "Angreifer" sie eben direkt auf.
btw: Ich würde es auch nicht direkt ausgeben, zumindest basename() oä. sollte benutzt werden.

Grüße
Faux