Die Doku von CGI.pm sagte etwas anderes als die Implementation tat und wenn man sich auf die Doku verließ, hatte man eine potentielle Sicherheitslücke. Also kam der Bug klar von CGI.pm.

Nochmal nur für Dich: Das beschriebene Verhalten ist kein Bug in CGI.pm und hat mit CGI.pm auch gar nichts zu tun. Mehr darüber findest Du auf http://www.perl-community.de aber Du kannst Dich gerne auf Youtube profilieren, das ist dann Deine Entscheidung.

Btw., die Doku CGI.pm http://search.cpan.org/~leejo/CGI-4.22/lib/CGI.pod gibt einen Hinweis auf mögliche Probleme (Warning - calling param() in list context can lead to vulnerabilities ....). Wies hier immer so schön heißt: Kontextwechsel beachten.