In der Script-Sprache PHP wurden insgesamt sieben Schwachstellen entdeckt, die alle nicht aktuellen Versionen von PHP4 und PHP5 betreffen. In den
neuesten Versionen 4.3.9 und 5.0.2 sind sie gestopft. Das gefährlichste Loch klafft in der Funktion unserialize(). Ein Zusammenspiel von zwei Fehlern mit einer bestimmten Zeichenkette erlaubt die Ausführung von beliebigem Code auf dem System. Integer-Overflows in den Funktionen pack() und unpack() können zudem zur Umgehung des Safe Mode respektive zum Auslesen von Teilen des Speichers missbraucht werden. Die Fehler wurden während der Arbeit an Hardened-PHP gefunden, einem Projekt, durch das PHP zusätzliche Sicherheitsfunktionen erhalten soll.