Из связанных с безопасностью исправлений в PHP 5.3.6 можно отметить:

• Устранена опасная уязвимость, позволяющая выйти за допустимые границы памяти при обработке изображений со специально оформленным тегом в блоке exif-параметров (CVE-2011-0708);
• Исправлена уязвимость, вызванная ошибкой форматирования строки (format-string) в расширении Phar (CVE-2011-1153);
• Исправлено целочисленное переполнение в функции shmop_read (CVE-2011-1092);
• Исправлено переполнение буфера при указании большого значения в параметре конфигурации "precision";
• Устранена уязвимость, приводящая нарушению границ памяти при использовании ZipArchive с опцией FL_UNCHANGED при обработке пустого zip-архива (CVE-2011-0421);
• Усилена безопасность в коде парсинга протокола fastcgi в fpm SAPI.

Важные исправления, не связанные с безопасностью:

• Обновлены версии поставляемых в комплекте библиотек SQLite3 (3.7.4) и PCRE (8.11);
• Добавлена возможность соединяться с сайтами по HTTPS через прокси-сервер, поддерживающий basic-метод аутентификации, используя stream_context/http/header/Proxy-Authorization;
• Добавлены опции для отладки backtrace-функций;
• Со 100 до 17 уменьшено значение по умолчанию для конфигурационной директивы serialize_precision;
• Исправлена ошибка, приводящая к неожиданному аномальному завершению функций isset() и empty();
• Исправлена ошибка, приводящая к невозможности при использовании замыканий (сlosures) вызова 'use' для совместно используемых переменных, как по имени переменной так и по ссылке;
• Устранено появившееся в версии 5.3.4 регрессивное изменение при обработке обратных слешей в open_basedir;
• Для платформы Windows прекращена поддержка сборки с использованием компилятора Visual Studio C++ 6. Для корректной работы Apache SAPI (php5_apache2_2.dll) необходимо использовать Visual Studio C++ 9. Для других SAPI (CLI, FastCGI через mod_fcgi, FastCGI с IIS или другими http-серверами) все работает и при использовании более старых версий VC.