Talvez eu seja apenas burro, mas parece que metade dos relatórios de RCE que leio basicamente dizem "se um atacante tiver root" e depois descrevem a coisa mais chata que se pode fazer a partir daí.