Поучительная история развивается вокруг открытой панели управления хостингом ZPanel, разработчики которой пренебрежительно отвечали на критику об использовании небезопасного стиля кодирования (например, использование eval, прямая подстановка переменных из массива $_POST в запросы SQL, наличие процесса zsudo для запуска любого кода ZPanel с правами root). Критика игнорировалась даже при демонстрации конкретных уязвимостей.

Создатели ZPanel ссылались на то, что они Web-разработчики, а не эксперты по безопасности. Кроме того, разработчики излишне доверяли результатам ранее заказанного стороннего аудита кода, который судя по всему являлся лишь формальной и поверхностной проверкой. Если явная уязвимость, которая позволяла поменять пароль администратора, была исправлена, то вторая проблема, затрагивающая систему шаблонов, оставалась неисправленной более 8 месяцев, после чего выявивший недоработку энтузиаст опубликовал данные о методе эксплуатации. Уязвимость позволяла выполнить произвольный PHP-код с правами root.

Авторы ZPanel отказались признать это серьёзной проблемой, так как для эксплуатации уязвимости требуется загрузка шаблона, а эта операция доступна только пользователю с правами администратора, реселлеры по умолчанию не имеют доступа к загрузке шаблонов. При этом несмотря на запрет по умолчанию, при изменении настроек штатная возможность загрузки шаблона реселлером имеется, т.е. при включении функции изменения внешнего вида интерфейса, любой получивший право перепродавать услуги хостинга может выполнить свой код с правами root на сервере.

Так же принципиально не исправлялись проблемы с возможностью осуществления межсайтовых запросов (CSRF), которые не признавались авторами как уязвимости. В мае один из участников проекта заявил, что ZPanel является более безопасным продуктом, чем имеющиеся аналоги, и что у пользователей больше шансов компрометации систем через уязвимости в ОС, чем через уязвимости в панели управления. После возобновления попыток доказать в форуме проекта, что это не так и давно следует переработать подход к безопасности в ZPanel, представители проекта в достаточно грубой и неуважительной форме показали энтузиасту его место и охарактеризовали его критику как "f*cken little know it all".

Спустя несколько дней, от имени лидера службы поддержки ZPanel в форуме было опубликовано сообщение о закрытии проекта в связи с невозможностью обеспечить безопасность кода. Как оказалось, данное сообщение было отправлено злоумышленниками после взлома ряда служебных аккаунтов участников проекта. Кроме того, в сети были опубликованы скриншот входа с правами root на один из серверов инфраструктуры ZPanel и файл с хэшами паролей некоторых участников проекта. В настоящее время работа сайта ZPanel остановлена и ведётся разбор причин инцидента. По сведению от администраторов инфраструктуры ZPanel, злоумышленники смогли получить полный контроль над сервером одного из сотрудников компании, на котором размещался сервис ZPanelCP Module Directory, в котором имелась неисправленная уязвимость, позволяющая осуществить подстановку SQL-запроса. Сведения о способе взлома аккаунтов на форуме проекта не сообщаются.

Дополнение: Администрация проекта ZPanel объявила, что основные серверы инфраструктуры не пострадали, атакован был только хост с ZPanelCP Module Directory, при этом для взлома использовалась уязвимость в данной службе. Пароли доступа к форуму были получены на основе утечки параметров аккаунтов на атакованном хосте, пострадавшие разработчики использовали одни и те же пароли на форуме и на взломанном сервере. Проблема безопасности в системе шаблонов устранена. Грубиян исключён из числа участников проекта.