Wenn man seinen Server gescheit konfiguriert, kann da nichts passieren. Ich hab noch einige alte phpbbs laufen und die hackt mir kein dummer Wurm, weil niemand außer root schreiben kann und in der php.ini alle "gefährlichen" Befehle gesperrt sind.
Na toll, und wenn nicht der bekannte Wurm die Lücke nutzt, sondern jemand einfach nen Script benutzt, welches zwar nix schreibt und keine "gefährlichen Befehle" nutzt, sondern "nur" den Admin Account hackt?