Offenbar wird diese Lücke auch bereits ausgenutzt, wie Jörg Kantel in seinem Blog "Der Schockwellenreiter" berichtet. Betroffen sind demnach die Versionen 4.5.0 bis 4.5.8 sowie 4.6.0 und 4.6.1, sofern die PHP-Einstellungen "register_globals", "allow_url_include" und "allow_url_fopen" aktiviert sind. Inzwischen wurden eine Korrektur und die fehlerkorrigierten Versionen 4.5.9 und 4.6.2 bereitgestellt.