disable_functions ညွှန်ကြားချက်နှင့် php.ini ရှိ အခြားဆက်တင်များကို အသုံးပြု၍ သတ်မှတ်ထားသော ကန့်သတ်ချက်များကို PHP စကားပြန်တွင် ကျော်ဖြတ်ရန် နည်းလမ်းတစ်ခုကို ထုတ်ဝေထားပါသည်။ disable_functions ညွှန်ကြားချက်သည် scripts များတွင် အချို့သော internal functions များကို အသုံးပြုခြင်းကို တားမြစ်နိုင်စေကြောင်း သတိရပါစို့၊ ဥပမာအားဖြင့်၊ သင်သည် ပြင်ပပရိုဂရမ်များသို့ ဖုန်းခေါ်ဆိုမှုများကို ပိတ်ဆို့ရန် သို့မဟုတ် fopen ကို တားမြစ်ရန် "system, exec, passthru, popen, proc_open နှင့် shell_exec" ကို ပိတ်ထားနိုင်သည် ဖိုင်များကိုဖွင့်ပါ။
အဆိုပြုထားသော exploit သည် လွန်ခဲ့သော 10 နှစ်ကျော်က PHP developer များထံ အစီရင်ခံခဲ့သည့် အားနည်းချက်ကို အသုံးပြုထားသော်လည်း ၎င်းကို လုံခြုံရေးဆိုင်ရာ သက်ရောက်မှုမရှိသည့် အသေးစားပြဿနာတစ်ခုအဖြစ် ၎င်းတို့က မှတ်ယူထားသည်။ အဆိုပြုထားသော တိုက်ခိုက်မှုနည်းလမ်းသည် လုပ်ငန်းစဉ်မှတ်ဉာဏ်ရှိ ဘောင်များ၏ တန်ဖိုးများကို ပြောင်းလဲခြင်းအပေါ် အခြေခံပြီး PHP 7.0 မှ စတင်ကာ လက်ရှိ PHP ထုတ်ဝေမှုများတွင် အလုပ်လုပ်သည် (တိုက်ခိုက်မှုသည် PHP 5.x တွင်လည်း ဖြစ်နိုင်သော်လည်း ၎င်းသည် exploit ကို ပြောင်းလဲရန် လိုအပ်သည်) . exploit ကို cli, fpm နှင့် apache2 အတွက် module ပုံစံဖြင့် PHP ဖြင့် Debian၊ Ubuntu, CentOS နှင့် FreeBSD ၏ အမျိုးမျိုးသော configuration များတွင် စမ်းသပ်ထားသည်။
source: opennet.ru