Například tak, že si někdo nastavil /etc/sudoers tak, že nepožadoval heslo správce po uživateli www-data
Nebo tak, že si někdo své supertajné heslo odložil do složky přístupné uživateli www-data. Nebo na FTP.
Případně měl někdo heslo "heslo" či "1234".
Nebo měl fyzický přístup k tomu PC.
Nic nevíme, bez podrobností je možností a možností.
Linux je jen tak bezpečný, jak mu jeho majitel dovolí.