まぁ.htaccessとかでBasic認証なりしろとか書いてた気がするけど．
とりあえず久しぶりにコメントしてみた．

http://phpspot.org/blog/archives/2006/04/_web_file_brows.html

2003年ごろに開発が止まってるものをコードレビューせずに紹介するのは中々すごいことないですか?

・URLいじれば認証抜けられます
・認証残してもURLいじればID&パスワードを任意の好きな文字で指定できます(結果認証抜けられるというのは等価
・URLいじればPHPからアクセス可能な任意のファイルを取得できます

ちなみにこれがダメなコード．

// Getting variables (TODO : increase security here)
if (!empty($HTTP_POST_VARS)) extract($HTTP_POST_VARS);
if (!empty($HTTP_GET_VARS)) extract($HTTP_GET_VARS);

スクリプトいきなりにあればまだしも初期設定を済ませた後にあるんですよね．
残念!!