Eine kritische Lücke in der PHP-Version 5.3.9 ermöglicht Angreifern das Einschleusen und Ausführen von Schadcode. Der Fehler liegt in einem erst kürzlichen veröffentlichten Sicherheitsupdate.
Eigentlich sollte das am 11. Januar 2012 veröffentlichte Update auf PHP 5.3.9 Hash-Kollisionen und damit DoS-Angriffe verhindern. Die Entwickler haben mit dem Update die Anzahl der Eingabeparameter in php_variables.c über max_input_vars auf höchstens 1000 beschränkt. Allerdings ist ihnen dabei ein Fehler unterlaufen. Dieser ermöglicht Angreifern, die Höchstgrenze zu überschreiten und beliebigen Code in eine Web-Anwendung einzuschleusen und auszuführen.