Die Frage ist dann, ob die Zuständigkeit für diese Sicherheitslücken wirklich bei PHP liegen, imho nicht.

Und das bedeutet,es ist völlig unnötig, sowas versuchen auszuschliessen, weills ja nicht deine Sache ist?
Ein Argument, das ich nicht verstehe, was mir abernen grund zeigt, dass da draussen so viele Projekte mit so vielen Sicherheitslücken existieren.