Il problema è causato dall'app che si aspetta che il valore del cookie sia qualcosa senza prima verificare se quel valore sia effettivamente qualcosa che può uscire con garbo se non lo è, e invece finisce per lanciare un'eccezione (non gestita).
Ciò che lo sviluppatore dovrebbe fare prima è disabilitare la visualizzazione degli errori sui server di produzione e restituire invece un errore di 500 con una pagina di errore di facile utilizzo opzionale, o almeno una pagina vuota per evitare la divulgazione di informazioni.
Non penso che sia necessario convalidare esplicitamente il valore del cookie, questo non è qualcosa che un utente può inserire e fare un refuso quindi non c'è bisogno di convalida e una pagina di errore come "cookie non valido", qualcuno avrebbe bisogno di modificare intenzionalmente il valore di quel cookie, nel qual caso è normale che l'app non lo si aspetti e genera solo un errore 500, purché PHP sia configurato correttamente per non rivelare informazioni sensibili in caso di errore e invece di registrarlo.