Le serveur mutu 1&1 est accessible pour tous les utilisateurs en SSH (pour ceux qui ont l’option) et de là vous pouvez parcourir le serveur dans tous les recoins. Pour une personne qui a des compétences en administration système, il est possible de profiter d’un serveur complet et notamment des répertoires tel que /usr/share/php, /etc, etc 
Le serveur ne permet nullement d’accéder aux répertoires des autres utilisateurs… c’est en place depuis des années de cette manière et il n’y a absolument rien de faux à cela. Il faudrait être root.
Néanmoins la faille découverte sur le site hébergé par 1&1 permettra très bien d’écrire dans le répertoire personnel de l’utilisateur, l’espace qui sert avant tout à l’hébergement des sites. Lorsqu’un client utilise des CMS, il revient à lui de le maintenir à jour, et il arrive assez fréquemment qu’un site soit piraté pour cette raison. La configuration de PHP5 vient avec les recommandations de sécurité (safe_mode off, allow_url_fopen off) et c’est à l’utilisateur de l’activer manuellement (cf http://1and1faq.fr/phpinfo/php.php5).
Mes 2 centimes.