なるほどねーそういことか。あとで詳細と対策を書くけど簡潔にかくと

• SRCDSのクライアントとサーバー間のuploading/downloadingプロトコルに脆弱性があって任意のファイルを上書き、ダウンロード出来るものが有った
• このうち、アップロードについてはvalveが修正した。しかしダウンロードについてはまだ穴が残っている

なんかDownloadのStringTableに任意のパスを含めることが出来るっぽいな。
たとえば../../cfg/server.cfgみたいな感じで改変したクライアントを作って実行させることでserver.cfgを取得しようと言う魂胆っぽいなぁ。

対策としてはSourceEngine 2009だったらこのプラグインを入れることで解決。
ServerSecure (Files only) - Server protection against the Upload / Download exploit. - AlliedModders

これはdownloading/uploadingのプロトコルにおいて、SRCDSの任意のディレクトリ以下、たとえばユーザーのスプレーファイルとかのアップロードに使われるフォルダとかだけしかアクセス出来ないようにするというもの