<-- запускает HTML-комментарий.
--> заканчивает комментарий HTML.
Еще до того, как PHP завоевал доминирующее положение, которым он сегодня пользуется, веб-разработчики хотели получить динамический контент для продукта веб-серверов без необходимости обучения программированию. Это привело к изобретению Включения на стороне сервера (SSI) . Вы бы вызвали SSI со следующим синтаксисом
<-- #ssi-directive-name list="of" the="paramaters" -->
Наиболее распространенной из них была директива <-- #include ..., которая позволяла вам включать содержимое другого файла. HTML-комментарий, такой как синтаксис, был выбран таким образом, чтобы директива могла быть включена в документ HTML и при этом считаться допустимым HTML.
Уже тогда использование директивы #exec было осуждено. Считалось, что наличие веб-запроса запускает процесс на сервере и вызывает проблемы. Тем не менее, связанная статья ужасно написана. Чтобы использовать SSI для компрометации паролей на сервере, вам нужны права (взломанные или предоставленные) для создания файлов на сервере. Дыра в безопасности здесь не столько поддерживает exec SSI (хотя он не должен быть включен), сколько в некоторой другой дыре, которая изначально позволяла пользователю получить доступ на запись к машине.
Если неясно, это не имеет ничего общего с PHP.