Помогите расшифровать PHP-код

так и сделал, но содержимое вложенной функции он не вывел

Не, ну даже если в воспитательных. Интересна аргументация, почему file_put_contents предпочтительней echo.

P.S. Понятное дело, что мутный код надо исследовать в "песочнице", т.к. может выполниться что-то нехорошее. У меня для этого специальная виртуалка :)

Не понятно, что внутри. Это как мина. Возможно там 0day уязвимость от flash или другой прикол на JS, и вон оно выполниться у вас в браузере.

Так не в браузере же запускается это всё. А с командной строки, в виртуальной машине. Плохое что-то может выполнится и без echo и без file_put_contents. Например, просто

function bad() { /* something bad */ }

$str = "{bad()}";

Т.е. Вы просто имеете ввиду, что результат выполнения кода не стоит открывать в браузере, правильно я понял?

Если у бабушки были бы яйца, она была бы дедушкой :)

А вот на https://vk.com похоже уже его запустили вне изолированной среды, бабушки с яйцами.

Потому что у вп-дизайнеров сайт существует только глобально. Локального сервера нет, сайта в нем нет, ничего просто так проверить-протестить-импортировать-экспортировать нельзя.