Wenn er nach einer index.* suchen darf und das * dabei durch html, shtml, php, phtml ersetzen darf, dann ist das noch überschaubar. Wenn er aber aus ./ sich irgendwas raussuchen darf, dann halte ich das schon für äußerst bedenklich.

Nein, nicht irgendwas, sondern eins aus foo.html, foo.shtml, foo.php,  …

Warum sollte der Apache bei foo nicht das tun dürfen, was er bei index auch darf?

Live long and prosper,
Gunnar

PS. War die Verschachtelung mit [сode] so korrekt? https://forum.selfhtml.org/?t=113331&m=719313