ใครที่ใช้โปรแกรมที่เขียนด้วย PHP โดยเฉพาะเอนจินสำหรับบล็อก, CMS หรือวิกิต้องระวัง เพราะรูโหว่ของ PHP ในการจัดการกับคำสั่ง XML อาจเป็นประโยชน์ต่อเหล่าแครกเกอร์ได้

ช่องโหว่ดังกล่าวนั้นจะทำให้ผู้บุกรุกเข้าไปจัดการกับเว็บเซิร์ฟเวอร์ ซึ่งโปรแกรมที่รายการเสี่ยงมีดังนี้ PostNuke , WordPress ( - -' ) , Drupal , Serendipity, phpAdsNew, phpWiki และ phpMyFAQ

ช่องโหว่นี้มีผลต่อฟังชั่น XML-RPC ซึ่งใช้กันมากใช้เว็บแอปพลิเคชั่น ประกอบไปด้วย "ping" อัพเดตโนติฟิเคชั่นสำหรับ RSS ไลบรารี PHP นั้นยอมใช้แอปพลิเคชั่นแลกเปลี่ยนข้อมูล XML โดยการใช้ RPC ซึ่งไม่มีการตรวจสอบข้อมูลที่เข้ามาว่าเป็นคำสั่งที่อันตรายหรือไม่ ไลบรารีที่มีผลกระทบมี PHPXMLRPC และ Pear XML-RPC ซึ่งทั้งคู่ต่างก็ถูกใช้กันมากในอินเตอร์แอกตีฟแอปพลิเคชั่นที่เขียนด้วย PHP ช่องโหว่ของ XML-RPC นั้นถูกเจอโดย James Bercegay แห่ง GulfTech Security Research ซึ่งเขากล่าวว่า "ไลบรารี่ดังกล่าวนั้นมีความเสี่ยงสูงมากที่จะถูกรีโมตเข้ารันคำสั่งที่เป็นอันตรายต่อเว็บเซอร์เวอร์ โดยการสร้างไฟล์ XML ที่ใช้ซิงเกิลโควตเพื่อที่จะให้รอดพ้นจากการเรียก eval() ผู้บุกรุกสามารถสั่งให้โค้ด php บนเซิฟเวอร์เป้าหมายให้ทำงานได้อย่างง่ายดาย"

บางโปรแกรมก็เริ่มปล่อยรุ่นแก้ไขออกมาแล้ว อย่างเช่น Wordpress

(Edited by mk on 19:14 5 Jul 05 )