2010.5.20日下午6点发布了一个关于nginx的漏洞通告，由于该漏洞的存在，使用nginx+php组建的网站只要允 许上传图片就可能被黑客入侵，直到5.21日凌晨，nginx尚未发布补丁修复该漏洞。
比如,将木马文件后缀改为jpg上传至服务器,就能通过存在的文件/a.jpg/a.php运行木马程序,这和apache、iis解析漏洞如出一辙：访问任意存在的文件/a.jpg/a.php就能把a.jpg当php文件执行.
临时修复方法如下，可3选其一。

1、设置php.ini的cgi.fix_pathinfo为0，重启php。最方便，但修改设置的影响需要自己评估。

2、给nginx的vhost配置添加如下内容，重启nginx。vhost较少的情况下也很方便。

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

3、禁止上传目录解释PHP程序。不需要动webserver，如果vhost和服务器较多，短期内难度急剧上升；建议在vhost和服务器较少的 情况下采用。