Nein man muss das nicht auf den Server hochladen... Deswegen doch die RFI-Lücke. Wenn so eine Lücke vorhanden ist, lässt sich ein belibiger fremder Code von einem anderen Server ausführen, also auch eine Shell.
Eine RFI-Lücke ist vorhanden wenn ein Parameter nicht richtig im Source Code deklariert wurde. (zum Beispiel wenn sich über http://www.seite.de/include.php?path.../www.google.de Google öffnet)