Ich weiß ja nicht was der Code in der Datei sonst so macht, aber der neu einzufügende übeprüft doch lediglich die Dateiendung eines "Styles". Was passiert denn wenn man eine Datei mit beliebiger Endung/"Style-Endung" hochlädt die PHP-Code enthält? Zudem ist ja .php zwar die wichtigste Dateiendung für PHP-Dateien, aber es existieren trotzdem noch weitere....

Da ich die Antwort nun in dem verlinkten Forum gelesen hab würde ich das Ganze eher der Kategorie Würgaround zuordnen.
Prinzipiell geschieht hier ja folgendes:
Man lädt irgendeinen Style hoch und das Paket enthält dann z.B. eine PHP-Shell. Ein Angreifer kann dann praktisch über "http://mein.webserver/styles/shell.php" darauf zugreifen und so Zugriff auf den Server erlangen. So weit so gut. Allerdings verhindert der Patch wie gesagt nur, dass Dateien mit dem Namen "*.php" in das entsprechende Verzeichnis "entpackt" werden. Je nach Konfiguration des Webserver werden aber u.U. auch php4 oder phtml-Dateien interpretiert und eben nicht angezeigt.
Die deutlich sauberere Lösung wäre in meinen Augen die, das Ausführen von PHP-Dateien in Verzeichnissen, die sowieso keine PHP-Dateien enthalten sollen, direkt zu verbieten. Dies kann man z.B. durch einen Eintrag in der .htaccess erreichen:

code: 1: php_flag engine off

Sicherlich gibt es noch andere Mittel und Wege, aber ich bin in der Materie nicht ganz so fit.

Wie gesagt ich kenne das WBB-System nicht von der Admin-Seite, kann also fast nur mutmaßen.
Die .style-Datei wird wohl nichts anderes als ein Archiv sein, das von der style.php entpackt wird (ich hab kurz gegoogled, aber tatsächlich keine Seite gefunden, wo ich ohne Registrierung einen Style runterladen konnte....). Wenn da nicht total was schief geht, sollte hier auch kein im Style evtl. enthaltener PHP-Code ausgeführt werden. Zudem sollte da auch sichergestellt sein, dass "nicht das Archiv entscheidet wo es seine Dateien hinhaben will", sondern die style.php nur ganze bestimme Zielverzeichnisse zulässt.

Wenn das nun z.B. (schematisch) so aussieht:

code: 1: 2: 3: 4: 5: 6: 7: 8: _ user.css / _ css (dir)-- -- main.css / foo.style ---- pics (dir)--- panel.jpg \_ shell.php

Wird das von der style.php entpackt, sollten die Dateien in "root-directory/wbb/css" bzw. "root-directory/wbb/pics" landen. Also muss man in dem konkreten Fall erst mal nur auf die Verzeichnisse achten, in die tatsächlich Dateien geladen werden können. Ich vermute, dass man in den meisten Fällen in diesen Zielverzeichnisse das Ausführen von PHP-Dateien verbieten darf.
Wenn die style-Datei aber sowieso eine ausführbare Datei ist, die selbst schon beliebigen Code ausführen kann ist das natürlich alles sowieso für die Katz, aber das kann ich mir nicht wirklich vorstellen.

Sorry dass meine Antwort erst so spät kommt, aber ich bin die letzten Tage einfach nicht dazu gekommen mir das mal anzusehen.
Es ist etwa so wie ich mir das gedacht habe, bloß ist die .style-Datei kein Archiv sondern eine Base64-kodierte HTML-Datei mit PHP-Elementen. Die restlichen Dateien, die zu einem Style gehören sind hauptsächlich Grafiken. Ob eine Style-Datei entsprechend manipuliert werden kann um Code auszuführen weiß ich nicht, allerdings bleibt die o.g. Kritik bestehen, da je nach Konfiguration des Servers eben nicht nur .php-Dateien, sondern ggf. auch .phtml-Dateien (u.a.) interpretiert werden.
Darum sollte man sich solche Pakete vor dem Import mal in aller Ruhe ansehen um böse Überraschungen zu vermeiden.