De zeer populaire scripttaal PHP heeft een nieuwe versie uitgebracht die een ernstig beveiligingslek verhelpt, waardoor aanvallers op afstand willekeurige code konden uitvoeren. PHP zou door 77% van alle websites worden gebruikt en draait zodoende op tal van webservers, die nu risico lopen. De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Stefan Esser.

Ironisch
De kwetsbaarheid werd geïntroduceerd door door de patch voor het hash-collision-lek dat in december werd gemeld en januari gepatcht. Via de hash-collision-kwetsbaarheid was het mogelijk voor aanvallers om webservers vanaf één laptop plat te leggen.

Het feit dat een beveiligingsupdate een beveiligingslek veroorzaakt is erg ironisch, aldus Dustin Schultz. Inmiddels is er ook een proof-of-concept exploit verschenen. Gebruikers wordt dan ook geadviseerd om zo snel als mogelijk PHP 5.3.10 te installeren.