V knihovně
Knihovna byla vyvinuta tvůrci CMS TYPO3, ale používá se také v projektech Drupal a Joomla, díky čemuž jsou také náchylné k zranitelnostem. Problém opraven ve vydáních
Z praktického hlediska zranitelnost v PharStreamWapper umožňuje uživateli Drupal Core s oprávněním 'Administrovat téma' nahrát škodlivý soubor phar a způsobit, že kód PHP v něm obsažený bude spuštěn pod rouškou legitimního archivu phar. Připomeňme, že podstatou útoku „Phar deserialization“ je to, že při kontrole načtených souborů nápovědy funkce PHP file_exists() tato funkce automaticky deserializuje metadata ze souborů Phar (archiv PHP) při zpracování cest začínajících „phar://“ . Je možné přenést soubor phar jako obrázek, protože funkce file_exists() určuje typ MIME podle obsahu, nikoli podle přípony.
Zdroj: opennet.ru