มีการเผยแพร่วิธีการเพื่อหลีกเลี่ยงข้อ จำกัด ที่ระบุในล่าม PHP โดยใช้คำสั่ง Disable_functions และการตั้งค่าอื่น ๆ ใน php.ini ให้เราระลึกว่าคำสั่ง Disable_functions ทำให้สามารถห้ามการใช้ฟังก์ชันภายในบางอย่างในสคริปต์ได้ ตัวอย่างเช่น คุณสามารถปิดการใช้งาน "system, exec, passthru, popen, proc_open และ shell_exec" เพื่อบล็อกการโทรไปยังโปรแกรมภายนอก หรือ fopen เพื่อห้าม กำลังเปิดไฟล์
เป็นที่น่าสังเกตว่าช่องโหว่ที่เสนอนั้นใช้ช่องโหว่ที่ได้รับการรายงานไปยังนักพัฒนา PHP เมื่อกว่า 10 ปีที่แล้ว แต่พวกเขาคิดว่ามันเป็นปัญหาเล็กน้อยที่ไม่มีผลกระทบด้านความปลอดภัย วิธีการโจมตีที่นำเสนอนั้นขึ้นอยู่กับการเปลี่ยนแปลงค่าของพารามิเตอร์ในหน่วยความจำกระบวนการและทำงานใน PHP รุ่นปัจจุบันทั้งหมดโดยเริ่มจาก PHP 7.0 (การโจมตีสามารถทำได้บน PHP 5.x แต่ต้องมีการเปลี่ยนแปลงการหาประโยชน์) . ช่องโหว่นี้ได้รับการทดสอบบนการกำหนดค่าต่างๆ ของ Debian, Ubuntu, CentOS และ FreeBSD ด้วย PHP ในรูปแบบของ cli, fpm และโมดูลสำหรับ apache2
ที่มา: opennet.ru