En kritisk sårbarhed i PHPMailer har åbnet systemet for ekstern kodeeksekvering indtil fejlen blev påpeget af Dawid Golunski fra it-sikkerhedsgruppen Legal Hackers.
Sårbarheden med ID ’CVE-2016-10033’ relaterer sig til hjemmesider, hvor PHPMailer anvendes til
formularer såsom ved registrering, feedback og email adgangskode gendannelse. Ifølge Golunski er alle versioner før 5.2.18 påvirket af problemet.
PHPMailer virker på serversiden til at sende automatiserede mails. Ved at udnytte afsendermail feltet på onlineformularer kan ondsindede hackere manipulere Sendmail kommandolinjen på serveren.
Gulonski har dokumenteret fejlen gennem et proof of concept, som han i første gang levererede til udviklerne bag PHPMailer. Han venter stadig med at offentliggøre en video, han har optaget af et gennemført angreb, indtil PHPMail har gennemgået yderligere tests.