PHP Advanced Transfer Manager, vzdálené vykonání příkazů

PHP Advanced Transfer Manager ve verzi 1.21 a nižší dovoluje spuštění libovolného PHP kódu.Tato chyba nastane v případě, že na cílovém stroji je v souboru "php.ini" nastavený parametr "allow_url_fopen" na "on". Skript "include/common.php" poté dovolí vzdálenému útočníkovi pomocí speciálně upraveného URL přepsat parametr "include_location" a spustit na cílovém stroji libovolný PHP kód (včetně příkazů operačního systému), který poběží s právy cílové webové služby. Oprava zatím není k dispozici.