Die Sicherheitslücke wurde von Maksymilian Arciemowicz entdeck, nach dessen Auskunft der Fehler im Versionsverwaltungssystem der PHP-Quellen bereits behoben ist. Unkklar allerdings bleibt, wann die neuen PHP-Versionen mit gestopften Security-Leck erscheinen werden.
In den aktuellen PHP-Versionen 5.1.6 und 4.4.4 sowie möglicherweise älteren ist es Angreifern durch einen Fehler möglich, mit der Funktion ini_restore() den Variablenwert aus der php.ini wiederherzustellen. Die Schwachstelle öffnet für Schädlinge, die über Lücken in PHP-Skripten in das System eindringen, Tür und Tor, um weitergehenden Schaden am System anzurichten.
Üblicherweise lassen sich Systemeinstellungen mit php_admin_value aus der php.ini nicht durch Apache-Konfigurationsdateien wie .htaccess überschreiben. Läuft PHP als Apache-Modul, kann der Administrator jedoch in der Apache-Konfiguration von der php.ini abweichende Werte einstellen.
Die bei Shared-Hosting-Unternehmen sehr häufig anzutreffende PHP-Konfiguration setzt in der php.ini die Standardwerte für safe_mode auf off und für open_basedir keinen Wert. Meist werden erst in der Apache-Konfiguration für die virtuellen Hosts die korrekten Werte gesetzt.
