vBulletin 是世界上用户非常广泛的PHP论坛，很多大型论坛都选择vBulletin作为自己的社区。在Bulletin 5.1.4-5.1.9版本，某些内部API处理Ajax请求时，未验证其来源，这可使攻击者无需身份验证调用继承自vB_Api及/core/vb/api/下任意类的任意公共方法，其中decodeArguments()方法内的unserialize()函数存在安全漏洞，可使攻击者在‘$args’变量中注入精心构造的任意对象，远程执行php代码，获取服务器权限。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.vbulletin.com/。