Il nuovo bug PhpInclude.Worm si propaga attualmente su Internet attaccandosi ad ogni pagina dinamica non sicura. (Questo bug è attualmente classificato dagli antivirus come un'alternativa di Santy. Non agendo nello stesso modo di Santy, è stato deciso di separare questo bug della famiglia Santy:  il nome "PhpInclude.Worm" è dunque suscettibile di modifica. Contrariamente a Santy, PhpInclude.Worm non sfrutta le vulnerabilità phpBB, sfrutta una gamma più ampia di difetti detti "di programmazione". Ricerca (via Google/Yahoo/AOL) i server web le cui pagine php utilizzano le funzioni include() e require() in modo non sicuro. Queste funzioni sono normalmente utilizzate dai programmatori per includere pagine web in argomentazioni. Purtroppo, la non verifica di queste argomentazioni può permettere l'inclusione e l'esecuzione di archivi esterni, e dunque la compromissione del server web. PhpInclude.Worm ricerca dunque pagine del tipo * php? * = , quindi
tenta di inserire diversi comandi che permettono l'installazione di robot IRC e la costituzione di un esercito di macchine zombies. Questi difetti correnti sono legati alle applicazioni web e non alla piattaforma o alla versione di PHP, da dove un rischio qualificato elevato da parte di K-OTik Security.