Lo haz hecho o no? Solo son hipótesis?

Cuando las register_globals estan activadas en php.ini, puede permitir que un usuario inicialice varias variables no inicializadas anteriormente de manera remota.

Muchas veces esto es utilizado para que un usuario malévolo pueda incluir ficheros no deseados y le permite ejecutar código arbitrario desde una localización remota.

Por ejemplo:

require ($page. ?.php?);

Aquí si el parámetro $page no se inicializa y si las register_globals están activados, el servidor será vulnerable a la ejecución remota de código incluyendo cualquier archivo arbitrario en el parámetro $page.

Este sería un ejemplo:

Más información: :http://www.desarrolloweb.com/articulos/principales-vulnerabilidades-web.html

Leiste bien?

jaja vaya discusión...

yo pienso que como vulnerabilidad se podría considerar... pero dudo mucho que algun servidor comercial tenga el registr_globals a on :/ ya que no es opcion por defecto y no se me ocurre ningun beneficio de ello (aparte de ahorrarse los $_GET y esas cosas xD )