Die Dokumentation ist an der Stelle ungenau. Einer der Kommentare erwähnt, dass sich die Variable spoofen lässt. Alles was ein Angreifer tun muss, ist dem Endnutzer einen manipulierten Link unterzuschieben.

Tatsächlich. Habe das gesucht und gefunden.

Test:

<html> <?php header ('Content-type:text/html');error_reporting(E_ALL); ini_set("display_errors", 1); trigger_error( 'foo '.$_SERVER['PHP_SELF'] . ' bar') ; ?> </html>

klappt, wenn man http://example.com/<script>alert('böse')</script> aufruft.

Ist jetzt nicht dringend - aber ich sollte wohl mal was mit grep -R machen.