Chyba CVE-2019-11043, ktorá bola prednedávnom opravená, umožňuje jednoduché vzdialené vykonanie kódu na serveri s PHP 7. Skript demonštrujúci túto chybu bol zverejnený na GitHube.

Zraniteľné sú server NGINX používajúce php-fpm (PHP FastCGI Process Manager) so špecifickou konfiguráciou. Konfigurácia musí používať direktívu fastcgi_split_path_info s regulárnym výrazom zachytávajúcim začiatok a koniec vstupu, ktorý sa dá oklamať znakom nového riadku. Tento vstup musí byť ďalej nastavený vo FastCGI parametri PATH_INFO. Poslednou podmienkou je chýbajúca kontrola existencie PHP skriptu, na ktorý sa požiadavka forwarduje.

Aj keď zverejnený exploit zneužíva optimalizáciu spracovania FastCGI premenných, ktorá je implementovaná iba v PHP 7, nie je vylúčené, že existuje technika, ktorá funguje aj v PHP 5.