In metoade is publisearre om yn 'e PHP-tolk de beheiningen te omgean mei de disable_functions-rjochtline en oare ynstellings yn php.ini. Lit ús ûnthâlde dat de disable_functions-rjochtline it mooglik makket om it gebrûk fan bepaalde ynterne funksjes yn skripts te ferbieden, bygelyks kinne jo "system, exec, passthru, popen, proc_open en shell_exec" útskeakelje om oproppen nei eksterne programma's te blokkearjen of fopen om te ferbieden triemmen iepenje.
It is opmerklik dat de foarstelde eksploitaasje in kwetsberens brûkt dy't mear as 10 jier lyn oan PHP-ûntwikkelders rapportearre is, mar se beskôgen it in lyts probleem sûnder feiligens-ynfloed. De foarstelde oanfalmetoade is basearre op it feroarjen fan de wearden fan parameters yn it prosesûnthâld en wurket yn alle aktuele PHP-releases, begjinnend mei PHP 7.0 (de oanfal is ek mooglik op PHP 5.x, mar dit fereasket feroaringen oan 'e eksploitaasje) . De eksploitaasje is hifke op ferskate konfiguraasjes fan Debian, Ubuntu, CentOS en FreeBSD mei PHP yn 'e foarm fan in cli, fpm en in module foar apache2.
Boarne: opennet.ru