Насчёт второго чего тут объяснять? Это ты по сути внедряешь в ихний код свой, то что тебе нужно (бэкдор) - ну и просто ждёшь следующего апдейта системы. Это вообще самый верный способ что-то сломать, применяется как правило APT-группировками чтобы "сломать неломаемое". Я удивлён, что меня спрашивают объяснить "мы тут нашли гит репозуторий кода сайта и не знаем что с ним делать"
Этож "клондайк" и "джекпот" по сути ты к их коду доступ получаешь, на чтение уже хорошо, а если правки вность можно то и "закладки" свои можно в код им засовать, потом веб-шелл получить (засунутый тобой в их гит репу в какой-нибудь из PHP файлов) чтобы в любой момент например. Но внедрять разумеется надо аккуратно, не вызывая подозрений, вдруг они (скорее всего) коммиты ревьювят.