Paskelbtas metodas apeiti PHP interpretatoriuje apribojimus, nurodytus naudojant disable_functions direktyvą ir kitus parametrus php.ini. Prisiminkime, kad disable_functions direktyva leidžia uždrausti naudoti tam tikras vidines funkcijas scenarijuose, pavyzdžiui, galite išjungti "system, exec, passthru, popen, proc_open ir shell_exec", kad blokuotumėte išorinių programų skambučius arba fopen, kad uždraustumėte atidarant failus.
Pažymėtina, kad siūlomas išnaudojimas naudoja pažeidžiamumą, apie kurį PHP kūrėjams buvo pranešta daugiau nei prieš 10 metų, tačiau jie manė, kad tai nedidelė problema, neturinti jokio poveikio saugumui. Siūlomas atakos metodas yra pagrįstas parametrų reikšmių keitimu proceso atmintyje ir veikia visose dabartinėse PHP laidose, pradedant nuo PHP 7.0 (ataka galima ir PHP 5.x versijoje, tačiau tam reikia pakeisti išnaudojimą) . Išnaudojimas buvo išbandytas įvairiose „Debian“, „Ubuntu“, „CentOS“ ir „FreeBSD“ konfigūracijose su PHP, naudojant „cli“, „fpm“ ir „apache2“ modulį.
Šaltinis: opennet.ru