Stefan Esser氏*1へのインタビュー記事がSecurityFocus - PHP Security From The Insideに載っています。

インタビュー記事の内容は PHP Security Response Team を辞任した経緯などなど、結構盛りだくさんですが、注目すべきは記事の3ページ目の『2007年3月（来月）を「The Month of PHP bugs」とする』とのくだりです。

The Month of PHP bugs will take place in March 2007. Its goal is to make people and especially the PHP developers aware that bugs in PHP exist.
（略）
We will disclose different types of bugs, mainly buffer overflows or double free(/destruction) vulnerabilities, some only local, but some remotely trigger-able (for example, because they are in functions usually exposed to user input).
（略）
Most of the holes were previously disclosed to the vendor, but not all.
（略）
In total we have more than 31 bugs to disclose, and therefore there will be days when more than one vulnerability will be disclosed.

SecurityFocus - PHP Security From The Inside

以下、超要約です。

• 3月に1日1つ以上のペースでPHPのバグを公開する。
• リモートから攻略可能なバグも含まれる。
• 殆どは事前にベンダ（PHP開発者）に公開するが、全てではない。

本当に危険なものについては、いきなり一般公開されることは無いと期待しています。しかしバグ修正が遅い（とEsser氏が感じた）場合は、修正が終わる前に一般公開されるかもしれません。

いずれにせよ、PHPのサイトを運用している人は、3月以降、これまで以上にパッチあての作業に労力を割くことになるかもしれません。