Hmh... *kratzambart* Der Code sieht mir zu unsicher aus.
Wird die Variable $forum_auswahl per GET-Methode übergeben?
Dann sollte man prüfen was passiert wenn man der Variable den Wert "/etc/shadow?" bzw. "/etc/passwd?" gibt.
Wenn da was kommt: Nixgut.
Außerdem wäre das eine potentielle Schwachstelle gegenüber dem neuen PHP-Wurm.