mij podríamos si deseas crear una lista de los fallos de IIS y Apache del último año y comprobarías que sorprendentemente los bugs son mayores en Apache
Pero si hablamos de asp.net creo que php tiene una GRAN cantidad de vulnerabilidades; en los 2 últimos días se han documentado las siguientes:
Cita: Múltiples vulnerabilidades en PHP 4.4.x
---------------------------------------
Se han encontrado múltiples vulnerabilidades en PHP 4.4.x, algunas de
impacto desconocido, y otras que podrían ser explotadas por un atacante
remoto para saltarse ciertas restricciones de seguridad.
* La primera vulnerabilidad está causada por un error de desbordamiento
de enteros en la función chunk_split(). Esto podría causar un
desbordamiento de búfer basado en heap.
* La segunda vulnerabilidad está causada por un desbordamiento de
enteros en las funciones strcspn() y strspn().
* Se ha descubierto un error al procesar los valores session_save_path y
error_log y podría ser explotada por un atacante remoto para saltarse
las directivas de seguridad open_basedir y safe_mode.
* Una vulnerabilidad está causada por un error en el manejo las
consultas SQL que contengan LOCAL INFILE dentro de la extensión MySQL.
Esto podría ser explotado por un atacante remoto para saltarse las
directivas open_basedir y safe_mode.
* La última vulnerabilidad está causada por un error de regresión
relacionado con la existencia de la función glob() y podría ser
explotada por un atacante remoto para saltarse la directiva
open_basedir.
Las vulnerabilidades están confirmadas para las versiones anteriores a
la 4.4.8.