CMSでは、標準で用意されているlist.htmlやitem.htmlの代わりに別のhtmlファイルを指定できます。
指定は、CMSの管理が面から種類ごとに行う方法と、URLから随時指定する方法が利用できます。
今回の問題は、URLから指定する場合に、外部サイトの悪意あるファイルを指定することで発生しています。
この機能を使っていなければ、$html=$_REQUEST["html"];の行を削除すれば、この問題を回避できます。

現在、この機能を使っていて、使い続けたい場合は、q19cms.comサイトで提供している試用版を
ダウンロードして、そのindex.phpを使用してください。
ただ、該当処理はコメントになっていますので、コメントを外してください。

//$html=$_REQUEST["html"];
これを、
$html=$_REQUEST["html"];
この様にする。

index.phpを入れ替える場合は、CMSの種類を間違えない様にしてください。
また、ご購入時期によっては、index.phpのバージョンが異なり、動作が違ってしまう可能性があります。
そのような場合は、お問い合わせからご相談ください。