Është publikuar një metodë për të anashkaluar në interpretuesin PHP kufizimet e specifikuara duke përdorur direktivën disable_functions dhe cilësime të tjera në php.ini. Le të kujtojmë se direktiva disable_functions bën të mundur ndalimin e përdorimit të disa funksioneve të brendshme në skriptet, për shembull, mund të çaktivizoni "system, exec, passthru, popen, proc_open dhe shell_exec" për të bllokuar thirrjet në programe të jashtme ose për të ndaluar hapja e skedarëve.
Vlen të përmendet se shfrytëzimi i propozuar përdor një cenueshmëri që iu raportua zhvilluesve të PHP më shumë se 10 vjet më parë, por ata e konsideruan atë një problem të vogël pa asnjë ndikim sigurie. Metoda e propozuar e sulmit bazohet në ndryshimin e vlerave të parametrave në kujtesën e procesit dhe funksionon në të gjitha lëshimet aktuale të PHP, duke filluar me PHP 7.0 (sulmi është gjithashtu i mundur në PHP 5.x, por kjo kërkon ndryshime në shfrytëzim) . Shfrytëzimi është testuar në konfigurime të ndryshme të Debian, Ubuntu, CentOS dhe FreeBSD me PHP në formën e një cli, fpm dhe një moduli për apache2.
Burimi: opennet.ru