А в чём трудность? Если в промежутке [...] ничего с $domain не происходит, то тут слепое RCE. Точка реплейсится, не очень удобно, можно использовать так: Code: domain=google.com; php -r "eval(base64_decode('c2xlZXAoNjApOw'));"; Есть ещё с пяток способов обойтись без точки, но и этого вполне достаточно для дальнейшей эксплуатации.