Záleží jak bude děrává aplikace a operační systém pod ní. Port 80 skenují roboti v podstatě neustále.
Jednoduše řečeno:
Pokud bude v aplikaci špatně ošetřené dotazování do databáze, lze se bez problémů dostat k všemu v ní.
Pokud nebude dobře právami ošetřeno PHP, lze se dostat a v podstatě ovládat operační systém.
Ten pak může sloužit jako uložiště dat (port 80 otevřený), součást botnetu, bude rozesílat spam. atd.