U biblioteci
Biblioteku su razvili kreatori CMS TYPO3, ali se takođe koristi u Drupal i Joomla projektima, što ih čini podložnim ranjivostima. Problem riješen u izdanjima
S praktične strane, ranjivost u PharStreamWapper-u omogućava Drupal Core korisniku sa dozvolama za 'Administriranje teme' da učita zlonamjerni phar fajl i izazove izvršavanje PHP koda koji se u njemu nalazi pod maskom legitimne phar arhive. Podsjetimo da je suština napada “Phar deserialization” u tome da prilikom provjere učitanih datoteka pomoći PHP funkcije file_exists(), ova funkcija automatski deserializira metapodatke iz Phar datoteka (PHP arhiva) kada obrađuje putanje koje počinju s “phar://” . Phar datoteku je moguće prenijeti kao sliku, jer funkcija file_exists() određuje MIME tip po sadržaju, a ne po ekstenziji.
izvor: opennet.ru