Se ha anunciado la existencia de diversas vulnerabilidades en funciones PHP en versiones anteriores a 4.4.2 y 5.1.2. Los problemas de diversa índole pueden permitir realizar ataques de denegación de servicio, cross-site scripting o evitar restricciones de seguridad.

El primero de los problemas, reside en que código PHP que contenga funciones auto-referenciadas puede provocar que el servicio deje de funcionar. Un usuario local podría cargar este código PHP y al ser interpretado por Apache a través de la petición de un usuario remoto, causaría que el proceso hijo del servidor dejase de funcionar. Si es llamado localmente, el proceso PHP dejaría de funcionar. Un usuario con privilegios para cargar código PHP podría crear uno con la función copy y un argumento especialmente manipulado para la ruta fuente. Cuando la función es ejecutada, no se comprobarán las restricciones de seguridad. Un usuario local puede aprovechar esto para tener acceso no autorizado a ficheros en el sistema.

Por último, la función phpinfo() no filtra adecuadamente código HTML desde la entrada proporcionada por el usuario cuando se le introduce un array de más de 4096 caracteres. Un usuario remoto puede crear una URL especialmente formada que, cuando sea cargada por la víctima causaría que código script arbitrario fuese ejecutado en el contexto del navegador del usuario. Esto permitiría, por ejemplo, el robo de credenciales a través de scripts.