Você pode ter absoluta certeza de que há pessoas por aí que gastam uma quantidade significativa de tempo tentando acessar servidores web Apache externamente, assim como você pode ter certeza de que o Apache Software Foundation gasta uma quantidade significativa de tempo testando seu software para garantir que esse tipo de ataque não seja bem-sucedido.
Para abordar especificamente sua pergunta; O Apache usa o mod_deflate para compactar e descompactar os dados enviados e recebidos. Portanto, o alvo aqui não é o Apache, mas o módulo usado para manipular arquivos compactados.
Dado que as zip bombs são um vetor de ataque bem conhecido, e que é possível elaborar uma solicitação contendo um objeto zip formado de forma mal-intencionada, esse tipo de ataque falharia.
Você pode ter certeza de que no dia em que alguém encontrar uma maneira de atacar dessa maneira, o problema será identificado e corrigido em um período de tempo muito curto.
Alguns aplicativos têm rotinas de detecção específicas para detectar e manipular zip-bombas.