Podobno da się zawładnąć serwerem z zainstalowanym xamppem przez luke w zabezpieczeniach xamppa - a dokladniej, usera PMA bez hasla. tu cytat:

I found a "security vulnerability" in phpMyAdmin which comes with XAMPP. The control user pma comes with an empty password as default, and XAMPP does not alert the user about this.

The user pma has more permissions than it should have.
I teraz o jakie uprawnienia chodzi? Szukalem ale nigdzie nie idzie tego znaleźć.