Nie, źle myślisz. Nie włamiesz się tym w żaden sposób, nie wykonasz żadnego ataku, nie dostaniesz się na serwer. To jest tylko proste przetłumaczenie adresu.
Mogą to być pojedyncze regułki dla serwera typu gdy ktoś poda adres example.com/test to wywołaj plik example.com/folder/plik.php, może być też to wpisane w postaci regexów i wtedy jest odpowiednio dopasowywane.
Ogólnie jest to tylko przepisanie adresów po stronie serwera po to, aby adresy były bardziej przyjazne dla wyszukiwarek czy użytkownika.