По-умлочанию explorer.exe ищется в корневой директории системного раздела, что позволяет подменить его и таким образом запустить приложение с правами другого пользователя.
vulners.com/securityvulns/securityvulns:doc:496