Это значит уязвимость оценивается не как критическая. Это может быть использовано примерно так:
У нас есть галлерея, где мы можем создавать папки и аплоадать картинки. В таком случае можно использовать эту уязвимость для взлома сервера. Но опять же, даже начинающий админ всегда уберет доступ для запуска в папке, где могут находиться только картинки... Да и аплоад будет в бинарном режиме, а не в текстовом...  Шансы воспользоваться этой уязвимостью очень маленькие, но сам факт обработки папки с окончанием .asp позволяет считать это багом.

Много есть всяких вебинтерфейсов, позволяющих папки создавать и файлы загружать.

Большинство ASP uplоадеров по умолчанию только картинки разрешают загружать.

Я когда то столкнулся с подобным багом. При создании каталога www.xxxxx.com невозможно было через сервер прочитать оттуда ни один файл. Выдавалась ошибка - "низзя выполнять файлы в этом каталоге". Баг обнаружился в окончании .com - интерпретатор воспринимал его как приложение. Пришлось попереименовывать каталоги и поменять ссылки (было выложено зеркало www.isaserver.org с сопутствующими сайтами).