Das hat mit PHP nichts zu tun. Wenn ein Programm "schlecht" geschrieben ist, hat alles Sicherheitslücken. Oft denkt der Programmierer gar nicht daran, dass das überhaupt ein möglicher Exploit sein _könnte_.
Es gibt ja auch in vielen teuren Programmen Exploits (wie z.B. in Microsoft-Programmen)!

Der "Erfolg" von Santy und ähnlichen Skripten hat sicherlich auch damit zu tun, dass sie weit verbreitet sind. So kann sich jemand, der es darauf anlegt schädlichen Code zu schreiben, sich mit den Programmen auseinandersetzen kann und sich dann gezielt eine mögliche Sicherheitslücke aussucht, die er angreift.

Das häufig PHP-Skripte angegriffen werden liegt sicherlich auch daran, dass viele "Neulinge" mal schnell was programmieren wollen und PHP total "in" ist. Dabei kennen diese "Programmierer" häufig nicht mal grundlegende Dinge wie "Traue nie einer Benutzereingabe".

An anderen Sicherheitslücken können normale Programmierer nichts ändern, wenn diese von der Sprache selbst kommen...