Objavljena je bila metoda, ki v tolmaču PHP zaobide omejitve, določene z uporabo direktive disable_functions in drugih nastavitev v php.ini. Spomnimo se, da direktiva disable_functions omogoča prepoved uporabe nekaterih notranjih funkcij v skriptih, na primer lahko onemogočite »system, exec, passthru, popen, proc_open in shell_exec«, da blokirate klice zunanjih programov, ali fopen, da prepoveste odpiranje datotek.
Omeniti velja, da predlagano izkoriščanje uporablja ranljivost, o kateri so razvijalci PHP poročali pred več kot 10 leti, vendar so menili, da gre za manjšo težavo brez vpliva na varnost. Predlagana metoda napada temelji na spreminjanju vrednosti parametrov v pomnilniku procesa in deluje v vseh trenutnih izdajah PHP, začenši s PHP 7.0 (napad je možen tudi na PHP 5.x, vendar to zahteva spremembe v izkoriščanju) . Izkoriščanje je bilo preizkušeno na različnih konfiguracijah Debian, Ubuntu, CentOS in FreeBSD s PHP v obliki cli, fpm in modula za apache2.
Vir: opennet.ru