Passare una pagina per querystring non è un bug, molto più semplicemente è un cosa molto pericolosa perchè permette a malintenzionati di inviare sul tuo server pagine contenenti codici malevoli.
L'ideale è passare un parametro per querystring ed effettuare un controllo su di esso, se il controllo è positivo è possibile includere la pagina; ad esempio.
Può essere controllato (un pò alla buona) con
PHP:
if(is_numeric($_GET['content'])) {include 'pagina.php';}
Neanche questo è però un sistema completamente sicuro, la cosa migliore è effettuare l'
encoding delle URL