Een van de meest gebruikte scripttalen op internet is wel PHP, en juist in deze taal is volgens CNet een behoorlijke fout geslopen. Aanvallers zouden via het beveiligingslek in alle versies van PHP 3.10 tot 4.1.1 een webserver laten crashen of in ieder geval behoorlijk in de soep laten lopen. Het is volgens een woordvoerder van het System Administration, Networking, and Security Internet Storm Center echter niet eenvoudig om gebruik te maken van het lek, zodat verwacht wordt dat er weinig mensen zullen zijn die ook daadwerkelijk iets kunnen doen via het lek. In totaal zouden miljoenen servers anders gevaar kunnen lopen.
Het betreft de manier waarop PHP zogenaamde 'multipart/form-data POST' aanvragen behandelt. Via de functie php_mime_split kan iedereen in principe elk willekeurig programma laten uitvoeren op de webserver, mits deze gebruik maakt van Apache-software. De fout kan namelijk alleen maar misbruikt worden bij webservers die op Linux of Solaris draaien, wat voornamelijk neerkomt op Apache. Microsoft's Internet Information Server bijvoorbeeld - die eerder nogal eens voor problemen zorgde - is in dit geval dus niet gevoelig voor het defect, dat voornamelijk bestaat uit een combinatie van vollopend geheugen en een probleem in het systeem dat dit hoort op te merken.
Met dank aan Verwijderd voor de tip.