Parece que essa correção ainda não resolveu de verdade o problema: http://www.securityweek.com/official-fix-php-flaw-easily-bypassed-researchers-say