Steffan Esser vom Hardened-PHP-Projekt warnt, dass die symlink()-Funktion eine mögliche Gefahr darstellt, über die PHP-Code die Beschränkungen von open_basedir überwinden und damit auch auf eigentlich nicht zugreifbare Dateien erreichen kann. Durch PHPs open_basedir-Funktion wird z.B. beo Shared-Web-Hosting genutzt um Zugriffe auf die Verzeichnisse anderer Kunden oder des Systems zu verbieten.