Użytkownicy e107 powinni zachować szczególną ostrożność, ponieważ update 0.7.17 naprawiający błąd krytyczny w wersji 0.7.16 może zawierać backdoor.
Bogdan Calin z firmy Acunetix przeanalizawał kod źródłowy i w pliku class2.php znalazł linie:
Jest to definicja statycznego cookie. Inny kod sprawdza czy ciasteczko zostało wysłane, a następnie wykonuje polecenia powłoki zlecone przez hakera za pomocą zmiennych POST. System kontroli CVS nie zaobserwował niebezpiecznego kodu.
Programiści e107 usunęli z serwera zainfekowaną wersję 0.7.17, w jej miejsce podstawili adres do SourceForge skąd można pobrać stabilną wersję e107. Użytkownicy wersji 0.7.16 powinni uaktualnić ją do wersji 0.7.17 znajdującej się na serwerach SourceForge. A użytkownicy 0.7.17 powinni jak najszybciej sprawdzić czy we wspomnianym pliku nie ma niebezpiecznego wpisu, a następnie go usunąć.
