Possibile, sì. Anche se molto più probabile, come altri hanno notato, è una configurazione errata, che fa sì che le richieste non vengano inviate all'interprete e rivelino il codice sorgente.
Una mitigazione comune a questo è lo spostamento di file sensibili, come un file di configurazione contenente le credenziali del database, all'esterno della radice del documento. I framework MVC incoraggiano questo usando un front controller. Cioè, l'unico codice sorgente esposto alla radice del documento è un piccolo file index.php
. Il resto del codice sorgente viene letto dall'esterno della radice del documento. Ciò minimizza l'impatto dell'interpretazione errata dell'interprete.