Есть один способ, но достаточно мутный.
Если на железке включен dhcp - то сделать dhcp сервер с настроенной опцией tftp-server-name, сделать tftp сервер, на который положить файл init.cfg с примерно следующим содержимым:

<flat-profile>
<Admin_Passwd>1234</Admin_Passwd>
</flat-profile>

Теоретически pap2t возьмет ip адрес и адрес tftp сервера с dhcp и через механизм provisioning возьмет с tftp конфиг. После этого админский пароль будет 1234

Если адрес на железке статический, предположим что на ней был настроен provisioning. Тогда можно поснифать, куда она при загрузке пытается обращаться, и собрать для нее фейковое "окружение": например, видим dns запрос - делаем dns сервер на том ip, что она хочет, смотрим какой домен хочет разрешить - расписываем его, ссылающимся на нас. Снова смотрим. Хочет что-то получить по tfpt/http/ftp - делаем tfpt/http/ftp сервер с таким файлом, который она хочет получить и содержимым, которое я привел выше(разумеется, если будет просить .bin - то подсунуть не конфиг, а прошивку).
Насколько помню, подобным образом поступали с залочеными на vonage железками.

Пробовал. Железка лезет на какой-то далекий сервак за своим конфигом. Я посмотрел его имя, пофейкал передачу, он стягивает файл, но не сбрасывается. Как-будто ему не нравится синтаксис.

А что в syslog пишет при загрузки прошивки? Проблема в том, что если железка с запада, то она может затягивать конфигу в криптованном виде. Можно попробовать передать аналогичный конфиг, закриптованный spc утилитой.

Согласно изысканиям, на плате есть не распаянная кнопка или перемычка для сброса настроек, возле телефонных разъемов. Даже дырка в корпусе на самом деле просверлена. Можно попробовать замкнуть контакты или распаять кнопку/перемычку. И помните, что все Вы делаете на свой страх и риск.

Пробовал. На свой страх и риск. Не помогло.