GulfTech Researchは「この脆弱性は、XMLRPCサーバのparseRequest()機能において、浄化されていないデータが直接eval() callに受け渡される結果」だと解説している。

軟弱性の理由がアレすぎて突っ込む気力も無くしたので黙々とPHP本家のページで確認した後にパッケージをアップグレード。

余談ですが、www.php.netはRSS配信をしているのにリンク先がファイルダウンロードというのは不思議です。アンカータグとか使ったほうが便利ではないかと思いました。