Se pare că PHP rulat peste CGI suferă de o serioasă gaură de securitate, vezi: http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/, http://threatpost.com/en_us/blogs/serious-remote-php-bug-accidentally-disclosed-050312 .
Dacă adaugi „?-s” ca parametru la un script php, cumva acesta transmite parametrul „-S” compilatorului, care în loc să mai compileze și ruleze scriptul afișează codul sursă al acestuia.
Instanțele de PHP rulate peste FastCGI sau DSO nu sunt afectate de această vulnerabilitate.