Bueno parece ser que este post terminara mal, pero aun así tengo que comentar
Si el navegador tiene un bug y este no se explota con el simple payload html, entonces sera algún bug de los headers entonces ahi si hay que controlar mas la informacion que se manda, entonces ahi puede entrar PHP o algun exploit escrito en X lenguaje el cual estaria esperando que el navegador se conecte y mandar los datos correctos.
Yo veo mas factible el uso de PHP, al menos que quieras hacerlo mas difícil.
Saludos