Precisamente, la culpa no es de PHP, sino de quien lo usa sin poner atención en esos pequeños detalles... por eso insisto: NO ES BUG DE PHP!!!

Esto me recuerda aquellos viejos tiempos (cuando yo sólo hacía webs en HTML), que todo mundo condenaba a PHP por la inseguridad que se generaba al activar register_globals y validaciones precarias; por supuesto, la culpa fue de los programadores que preferían "evitarse la molestia" de inicializar y verificar cada variable.

No podemos culpar a PHP por las inyecciones SQL cuando nos olvidamos de usar consultas preparadas o escapar los datos correctamente.

Y, bueno, ya casi me canso de repetirlo:
- Antes de usarlas, inicializar todas las variables con el contenido que realmente les corresponda $_GET, $_POST, $_COOKIE, $_SESSION o con un valor por defecto, ya sea cadena vacía, NULL, falso, etc.
- No confiar en los datos ingresados por el usuario
- No incluir scripts (php o la extensión que sea, internos o externos) si no pertenecen a la estructura de tu sitio.