Безопасность значительно повышается за счёт переноса двоичного файла PHP-парсера за пределы дерева веб-файлов, в каталог наподобие /usr/local/bin. Единственный недостаток такого способа состоит в том, в первую строку каждого файла с PHP-тегами придётся вставить аргумент:
#!/usr/local/bin/php
#! — механизм shell-экранирования
для запуска самого себя, потребуется сделать каждый файл скрипта исполняемым.
Для корректной обработки PHP-интерпретатором переменных окружения PATH_INFO и PATH_TRANSLATED потребуется включить ini-директиву cgi.discard_path.