Niektóre poprawki bezpieczeństwa:

• Usunięto możliwość zapełnienia stosu ("stack buffer overflow") dla FastCGI SAPI
• Usunięto błąd "integer overflow" w funkcji printf()
• Usunięto lukę bezpieczeństwa opisaną w dokumencie CVE-2008-0599
• Usunięto możliwość obejścia trybu bezpiecznego "safe_mode" dla cURL
• Uaktualniono bibliotekę PCRE do wersji 7.6
• Naprawiono adresowanie niekompletnych, wielobajtowych znaków dla funkcji escapeshellcmd()

Inne ważne poprawki:

• usunięto dwa potencjalne błędy krytyczne w rozszerzeniu posix
• naprawiono błąd #44069 (Duże użycie pamięci przy łączeniu stringów z użyciem . zamiast .=)
• naprawiono błąd #44141 (Możliwość wywołania prywatnego konstruktora klasy nadrzędnej poprzez funkcję statyczną)
• naprawiono błąd #43589 (Możliwe nieskończone pętle w bz2_filter.c)
• naprawiono błąd #43450 (Wycieki pamięci dla niektórych wywołań funkcji __toString() )