Обнаружена дыра в php версий 4.0.х, 4.1.х, а т.ж. 3.хх, которая позволяет через механизм POST file upload (multipart/form-data POST requests) запускать код на сервере. На www.php.net имеются соответствующие патчи. В последней cvs-версии (4.2.0-cvs) данный механизм полностью переписан и не содержит данной дыры.
>>> Подробности