La maggior parte delle nuove versioni include miglioramenti della sicurezza, quindi la versione più vecchia è il tempo più lungo che un utente malintenzionato deve sfruttare.
È possibile sfogliare una libreria di vulnerabilità, ad esempio ecco uno per php 5.4 .
Puoi verificare tu stesso quante vulnerabilità sono state divulgate e quanto sono severe. Per la maggior parte penso che sia questione di quali estensioni siano abilitate e del codice specifico, non ricordo l'identificatore CVE ma ricordo una funzione multibyte in php (molto tempo fa) che causerebbe un overflow del buffer se data una stringa specifica .
Secondo me, le versioni che hai attualmente non sono terribilmente vecchie, ma pongono alcuni problemi di sicurezza, ecco un esempio di una vulnerabilità DoS.
Guardalo da un'altra angolazione, le nuove versioni di php vengono anche con cambiamenti nelle funzioni e l'aggiornamento a una versione più recente potrebbe non essere sempre trasparente per l'applicazione, le cose potrebbero rompersi. Quindi una società di hosting non dovrebbe aggiornare automaticamente la versione di PHP senza il consenso del cliente.