PHP est un langage de programmation largement utilisé sur des systèmes de gestion de contenu populaires comme WordPress et Drupal, mais également dans une moindre mesure sur Facebook. Un chercheur russe du nom de Emil « Neex » Lerner, a décelé une vulnérabilité importante sur PHP, notamment sur la dernière version PHP7. Selon lui, cette faille dont le code porte le nom de CVE-ID 2019-11043, permettrait à un pirate informatique d’exécuter son propre code en forçant un serveur distant à accéder simplement à une URL. Pour cela, il lui suffirait d’ajouter « ? a= » sur l’adresse du site en association avec sa charge utile. La vulnérabilité pourrait ainsi compromettre la capacité d’un site web à barrer la route à d’éventuelles attaques. Un pirate même non-initié pourrait facilement l’exploiter.
Cette faille sur PHP7 n’est présente que sur les serveurs utilisant le serveur web NGINX doté de l’extension PHP-FPM (version optimisée de FastCGI). Celle-ci n’est pas forcément utilisée sur PHP7, mais surtout par les sites web commerciaux. NextCloud, site d'hébergement de fichier et de logiciel libre, utilise cette fonctionnalité compromise de PH7, ce qui l’a forcé à demander à ses clients de mettre à jour leurs applications. Vraisemblablement, des correctifs ont déjà été appliqués sur PHP7. Toutefois, ils ne sont accessibles qu’après une mise à jour réalisée par les utilisateurs eux-mêmes, ce qui n’est généralement pas le cas. En guise d’illustration, plus de 200.000 serveurs sont encore touchés par la faille Heartbleed plus de deux ans après sa découverte. Actuellement, quelques preuves laissent penser que des pirates exploitent déjà la vulnérabilité sur PHP7.
