Wojciech Purczynski ha scoperto che è possibile che gli script passino un testo qualsiasi a sendmail come estensione della linea di comando quando si inviano email tramite PHP anche se safe_mode è attivato. Passare il quinto argomento dovrebbe essere diabilitato se PHP è configurato in safe_mode, che è il caso delle nuove versioni di PHP e per le precedenti. Questo non è un problema per PHP3.
Wojciech Purczynski ha anche trovato dei caratteri di controllo qualsiasi possono essere inseriti nelle stringhe passate alla funzione mail(). Se gli argomenti di mail() sono presi come input dall'utente si può dare all'utente la possibilità di alterare il contenuto del messaggio o della sua intestazione.
Ulf Härnhammar ha scoperto che le funzioni file() e fopen() sono vulnerabili all'inserimento di CRLF. Un attaccante può utilizzarlo per oltrepassare alcune restrizioni e aggiungere del test qualsiasi a una richiesta HTTP che sta passando.
In ogni caso questo può capitare solo se qualcosa che non sia un nome valido di file o un url ad una di queste funzioni. Qualsiasi stringa che contenga caratteri di controllo non può essere un URL valido. Prima di passare la stringa si deve utilizzare la funzione urlencode() per codificarla.
Tre problemi sono stati identificati all'interno di PHP:
Questi problemi sono stati risolti nella versione 3.0.18-23.1woody1 di PHP3 e 4.1.2-5 di PHP4 per la attuale distribuzione stable (woody), nella versione 3.0.18-0potato1.2 di PHP3 e 4.0.3pl1-0potato4 di PHP4 nella vecchia distribuzione stable (potato) e nella versione 3.0.18-23.2 di PHP3 e 4.2.3-3 di PHP4 per la distribution unstable (sid).
Si raccomanda di aggiornare i propri pacchetti PHP.
Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.