Задокументированная возможность: подключившись к базе данных под управлением MySQL, сторонний сервер может читать не только данные самой базы, но и другие файлы, хранящиеся на том же сервере.

Так действует функция LOAD DATA в MySQL, и она описана в документации: https://tprg.ru/1Kur К примеру, злоумышленник может получить логины и пароли для доступа к БД, SSH-ключи, данные о криптокошельках и прочие конфиденциальные сведения. Главное — знать точный путь к нужному файлу, но специалисты говорят, что узнать его проще простого.
И что с этим делать?
Команда MySQL рекомендует ограничить контакты с ненадёжными серверами или запретить внешние запросы на доступ к данным непосредственно в клиентских приложениях.
Подробнее: https://tprg.ru/xrvl