Eine neue Lücke, die letzte Woche zufällig (lies: unabsichtlich) veröffentlicht wurde, hält derzeit die PHP-Entwickler in Atem. Der Fehler, der seit mindestens 2004 existiert, ist auf eine fehlerhafte Implementierung der CGI-Spezifikation zurückzuführen.
Diese besagt, daß ein Query-String, der mit "-" beginnt und kein "=" enthält, als Kommandozeilenargument an das ausführende CGI-Programm (hier also PHP) übergeben werden kann. Das führt in Verbindung mit unsicheren Wrapperskripten dazu, daß der Zugriff auf eine beliebige - auch leere - PHP-Datei beliebige Codeausführung ermöglicht.