Você está se referindo a um problema em que um invasor pode fazer upload de código arbitrário para um servidor da Web nginx e então engane o servidor para executá-lo como PHP . (Nenhum CVE existe para este problema, pois é tecnicamente uma configuração incorreta, em vez de uma vulnerabilidade.)
Qualquer um dos métodos listados pode ser usado para remediar o problema .
Outra maneira mais simples de corrigir esse problema é adicionar o seguinte em seu PHP location
:
try_files $uri =404;
Embora isso funcione apenas se o nginx e o PHP estiverem sendo executados no mesmo servidor, o que é quase sempre verdadeiro.
A recomendação, é claro, é que você documente claramente o que está fazendo e por quê.