Que pessoal abusado! Não se contentaram com a falha do próprio programa e ainda colocaram outra?!?!? Acho que antigamente o pessoal implantaria o backdoor mas consertaria a falha (tudo bem que era para que outros não se aproveitassem e só eles pudessem ter acesso, mas não deixa de ser uma boa ação).
Eu uso SSH/SCP/SFTP e disponibilizo arquivos usando um servidor web, mas faltaria uma forma fácil de deixar algumas pessoas que acessam via web fazer upload e outras operações sobre os arquivos. Qual o programa que se está usando para fazer esse papel?
O próprio Apache tem um módulo para upload (mod_upload) usado em formulários. Tem alguma coisa feita em PHP/Python/Perl, mas nunca testei.
O proftpd já pisou na bola algumas vezes na parte de segurança.
Apesar de ser bastante configurável e já ter usado durante muito tempo, recentemente migrei para o vsftpd e, além de ter um histórico de segurança melhor, parece ser mais rápido.