У бібліотеці
Бібліотека розроблена творцями CMS TYPO3, але також застосовується в проектах Drupal і Joomla, що робить їх також схильними до вразливості. Проблема усунена у випусках
З практичної сторони вразливість у PharStreamWapper дозволяє користувачеві Drupal Core, що має повноваження адміністратора тем оформлення ('Administer theme'), завантажити шкідливий phar-файл і домогтися виконання розміщеного в ньому PHP-коду під виглядом легітимного phar-архіву. Нагадаємо, що суть атаки "Phar deserialization" у тому, що при перевірці завантажених файлів допомоги PHP-функції file_exists(), ця функція автоматично виконує десеріалізацію метаданих з файлів Phar (PHP Archive) при обробці шляхів, що починаються з "phar://" . Передача phar-файлу можлива під виглядом картинки, оскільки функція file_exists() визначає MIME-тип за вмістом, а не розширення.
Джерело: opennet.ru