Folket på Zend har hittat en sårbarhet i PHP4
(den ursprungliga säkerhetsbulletinen talar om version 4.0.4, men felen finns även
i 4.0.3).
Det är möjligt att ange PHP-direktiv på en per-katalog-basis, vilket leder till
att en fjärrangripare som skriver en HTTP-förfrågan som skulle få nästa
sida att sändas med fel värden för dessa direktiv.
Dessutom, även om PHP är installerat så kan det aktiveras och deaktiveras
på per-katalog-basis eller per-virtuell värd-basis med direktiven "engine=on"
eller "engine=off".
Denna inställning kan läcka till andra virtuella värdar på samma maskin,
vilket får till effekt att PHP deaktiveras för de värdarna, varpå PHP-källkoden
sänds till klienten istället för att exekveras på servern.
