Weil es so bequem ist, nutzen auch viele große Unternehmen das Tool: Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern jedermann seitdem vertrauliche Dateien ohne Probleme herunterladen kann.
Denn in dem PHP-Skript PHP File Manager schlummern offenbar seit mindestens fünf Jahren kritische Sicherheitslücken, die der Hersteller kennt, aber nicht schließt. Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog aufmerksam. So soll es durch zwei Lücken möglich sein, durch das Skript ohne Authentifizierung Code auf den Server zu laden und potenziell auszuführen.
Der Hersteller Revivedwire hat das Programm inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider nicht finden, bitte überprüfen Sie die URL (ACTUALLY, WE COULDN’T FIND THE PAGE YOU REQUESTED. PLEASE CHECK THE URL.)“.
Ein Hinweis auf die Sicherheitslücken währe nicht nur ehrlicher, sondern auch hilfreicher für die Kunden, die immerhin Geld für das Programm bezahlt haben – auch wenn es nur 5 Dollar waren!