В OctoberCMS на уровне .htaccess запрещены все php-крипты кроме точки входа index.php и это правильно с точки зрения безопасности. Если всё же понадобилось открыть каталог для запросов, то это делается так:
.htaccess##
## White listed folders
##
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !/.well-known/*
RewriteCond %{REQUEST_FILENAME} !/storage/app/uploads/.*
RewriteCond %{REQUEST_FILENAME} !/storage/app/media/.*
RewriteCond %{REQUEST_FILENAME} !/storage/temp/public/.*
RewriteCond %{REQUEST_FILENAME} !/themes/.*/(assets|resources)/.*
RewriteCond %{REQUEST_FILENAME} !/plugins/.*/(assets|resources)/.*
RewriteCond %{REQUEST_FILENAME} !/modules/.*/(assets|resources)/.*
RewriteCond %{REQUEST_FILENAME} !/testfolder/.*
RewriteRule !^index.php index.php [L,NC]
##
## Block all PHP files, except index
##
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} \.php$
RewriteCond %{REQUEST_FILENAME} !/testfolder/.*
RewriteRule !^index.php index.php [L,NC]
Тут мы добавили каталог /testfolder/ в список разрешённых для обращения к скриптам php, т.е. добавили строчку
RewriteCond %{REQUEST_FILENAME} !/testfolder/.* в два места (смотреть выше)
