Angreifern wird durch die Parameter path_pre in lib/specialdays.php sowie lib_path in lib/dbman_filter.inc.php ermöglicht, Pfade auf externe oder lokale Quellen zu definieren. Das wiederum hat zur Folge, dass beliebige – auch böswillige – Scripts eingeschleust werden können.
Die Entwickler raten zum Update auf die Version 5.1.1.
Zwar erfordert ein erfolgreicher Angriff die Aktivierung von register_globals
und
allow_url_fopen,
die üblicherweise deaktiviert sind. Andererseits verlangen zahlreiche Erweiterungen und PHP-Anwendungen die Aktivierung dieser Parameter. Ein Update ist deswegen grundsätzlich angeraten.