yohgaki's blog - PHPの現行リリースに重大な脆弱性（PHP4.4.0以下、PHP5.0.5以下）

まず先のブログエントリで私が誤解していたため解りづらい状態になっていました。register_globals=offであればアドバイザリ（http://www.hardened-php.net/advisory_202005.79.html）の影響は受けません。この場で深くお詫びいたします。

register_globals=offであれば問題ないようです。といってもまだregister_globals=onのレンタルサーバーなどは多そう。

問題の部分ですが、PEARがグローバル変数に定義されている関数をcall_user_funcによって呼び出してしまうという部分です。
外部からの関数注入などの恐れはないようですが、オープンソースのプログラムであった場合、ソースが公開されているため、予期しない部分で意図しない関数が呼ばれるという恐れがありますね。