Zugegeben, die meisten PHP Anwendungen leiden eher an den Sicherheitslücken welche auf nachlässige Entwicklung oder unzureichende Konfiguration des Webservers zurückzuführen sind. Es gibt aber auch Sicherheitsmängel in der Zend-Engine und damit in PHP selber. Problematisch sind solche Sicherheitsmängel weil der Programmierer hier keinerlei Einfluss nehmen kann. Den meisten PHP Entwicklern sind solche Sicherheitsmängel auch kaum bekannt und die Beseitigung derselben unterliegen zumeist dem Serveradministrator. Der umsichtige Programmierer kann hier auch nur bedingt eingreifen, indem er in seiner Programmierung auf unsichere Bestandteile verzichtet.