Неинициализированные PHP-переменные позволяют выполнение скрипта заданного атакующим. Кроме того есть другие уязвимости.
vulners.com/securityvulns/securityvulns:doc:1862
vulners.com/securityvulns/securityvulns:doc:1863