Was mir auffällt, dass du vermutlich Sicherheitslücken im Skript hast. Eine Manipulation der URL darf keine PHP-Fehler zur Folge haben (wie hier).
Also unbedingt prüfen, ob die Verzeichnisse auch wirklich gelistet werden dürfen (sollte das gelistet werden?). Sonst kommt u.U. das böse Erwachen, wenn Konfigurationsdateien aufgelistet und geöffnet werden können.
Du übergibst ohne zu prüfen den Pfad 1:1 an eine Funktion weiter. Das ist immer sehr kritisch s. hier).

Merke: Überprüfe IMMER alle Parameter auf ihre Gültigkeit und gehe NIE davon aus, dass der Besucher nur auf deinen Links herumklickt. Das gilt natürlich auch für include() & Co. Ich persönlich nutze beispielsweise nur absolute Pfade. Dann kann ausgeschlossen werden, dass Dateien von Fremden Servern eingebunden werden.