Un nuovo bug è stato scoperto dal polacco krasza. Riguarda tutte le versioni 7.x e permette la visualizzazione dei dati dell'amministratore God nel blocco Last Referers. Pertanto fino a che non verrà realizzato il fix è consigliato di cancellare o rinominare il blocco Last Referers.
Il bug è localizzato nel file index.php intorno alla riga 38:

Codice

$result = $db->sql_query("INSERT INTO ".$prefix."_referer VALUES (NULL, '$referer')");

In pratica si inganna PHPNuke facendogli credere di arrivare da una pagina web (referer) quando invece si tratta di una stringa di attacco con la quale si entra nel db prendendo possesso dell' amministrazione dell'intero sito.
Ulteriori notizie le trovi qui:
http://seclists.org/fulldisclosure/2007/Feb/0463.html