Sí señores, y el problema de seguridad es grave, ya que permitiría la ejecución de código arbitrario en el sistema afectado.
La función causante del agujero de seguridad es str_transliterate(), que se encarga de traducir el texto que se le pase sin validar los parámetros de entrada, por lo que se puede producir un desbordamiento de buffer (del inglés buffer overflow o buffer overrun) producido cuando se copia una cantidad de datos sobre un área que no es lo suficientemente grande para contenerlos.
Hay que dejar claro que PHP6 todavía está en desarrollo, por lo que es preferible detectar y subsanar errores ahora que no a posteriori.