よくフリーで掲示板やカウンターなどのCGI（PHP含む）が配布されていますが、注意しないとセキュリティホールが含まれている可能性があります。

利用者の一番興味があるところは、機能が斬新だとか、仕組みがシンプルでレンタルサーバでも利用しやすいとかだと思います。
もちろん、セキュリティをチェックしている人もいるでしょうが、当然、チェックしない人もいるでしょう。
# 自分も昔は、よく分からないままコピーして、設定して、はいおしまい。あとは放置してました。

で、フリーのCGIに巧妙なセキュリティホールがあえて埋め込まれてるということがあったらどうでしょうか。
作者やそのセキュリティホールを知っている第三者に攻撃されて、踏み台やHP改竄、フィッシング、個人情報流出などの被害にあうかもしれません。
ようは、Web版のマルウェア、トロイってことです。
セキュリティホールも、狙って利用されればバックドアに早変わり。

CGIなのでソースが公開されているため、それなりの利用者がいれば、セキュリティホールには誰かが気づくかもしれません。
ただ、perlのように、見てもさっぱりわからないぐらい変な書き方ができれば、すぐには気づかないこともあるでしょう。
そういう場合、最初にプログラムを設定しちゃったヒトは被害を受ける可能性があるわけです。
また、CGIは一度設置すると頻繁にはアップデートしないヒトもいるでしょうから、わすれた頃に攻撃を受けてしまう・・・何て事もありえます。
つまり、すぐさま配布サイトは駆逐されても、自分は被害者になり得るわけです。

ここ数年、Spamメールや、フィッシングサイトが異様に増えてるように、この犯罪を仕事にしている人がいます。
# 年収すごいらしいです。捕まったときの罰もすごいですが。
そういう人たちは、発信源をもっと簡単に増やせれば・・・と思って、セキュリティホールを持ったCGIを作成してこっそり配布しているかもしれません。
たまたま海外のサイトで、すごいクールなCGIをみつけてたとして、英語だからスクリーンショットや、デモだけみて、自分のサーバにいれちゃったりする日本人を狙ってる・・・なんてこともあるかも？

ようするに言いたいことは、よくわからないCGIは使うなということです。
CGIのソースが読めないひとは、定評のあるサイトのCGIを利用するほうが無難です。

ということを、セキュリティホール抱えてるかもしれないPHPプログラムを書きながら、おもいついたのでかいてみました。
#仕事がだるいから書いてるわけじゃないよ　うん　たぶん