Este ataque explora a possibilidade de execução de código remota na versão php7, sendo esta falha dada pelo CVE-2019-11043.
A falha reside mais precisamente no PHP-FPM, que é o gestor de processos de FastCGI para o PHP (FastCGI Process Manager).
A nível técnico, a falha é um env_path_info underflow proveniente da componente main.c do PHP-FPM’s fpm, o que significa que apenas servidores web NGinx com o PHP-FPM estão afetados.
Versão corrigida:
PHP 7.3.11
Como workaround, o que se aconselha é ou incluir a diretive try_files ou usar uma condição "if -f $uri"
Página oficial do php para download do patch: https://www.php.net/ChangeLog-7.php#7.3.11
Exploit no github: https://github.com/neex/phuip-fpizdam
Mais informações: https://www.zdnet.com/article/nasty-php7-remote-code-execution-bug-exploited-in-the-wild/