La tecnología actual de detección estática de vulnerabilidades en aplicaciones web depende en gran medida de patrones específicos de vulnerabilidad, mientras que la tecnología de análisis dinámico tiene el problema de una baja cobertura de vulnerabilidades. Con el fin de mejorar la capacidad de detectar vulnerabilidades desconocidas en aplicaciones web, este documento propone un método de fuzzing dirigido a vulnerabilidades de Ejecución de Código/Comando Remoto (RCE) en PHP. Nuestro método es una combinación de métodos estáticos y dinámicos. Primero, obtuvimos la información potencial de vulnerabilidad RCE de la aplicación web a través de un análisis de contaminación estática detallado. Luego realizamos la instrumentación para el código fuente de la aplicación web basándonos en la información potencial de vulnerabilidad RCE para proporcionar información de retroalimentación para el fuzzing. Finalmente, se estableció un mecanismo de verificación automática de vulnerabilidades en aplicaciones web con retroalimentación en bucle en el que el componente de verificación de vulnerabilidades proporciona información de retroalimentación, y el componente de mutación de semillas mejora la semilla de prueba de vulnerabilidad basándose en la información de retroalimentación. Sobre la base de este método, se implementa el sistema prototipo Cefuzz (Fuzzer de Ejecución de Código/Comando). Experimentos exhaustivos muestran que, en comparación con los métodos existentes de detección de vulnerabilidades en aplicaciones web, Cefuzz mejora significativamente el efecto de verificación de vulnerabilidades RCE, descubriendo 13 vulnerabilidades desconocidas en 10 CMS web populares.