Кроме исправлений в релизе PHP 5.3.3 проведено одно изменение, нарушающее совместимость в рамках ветки PHP 5.3.x: методы с тем же именем, что и текущий класс в "namespace" более не воспринимаются как конструкторы. Методов в классах без "namespace" это не коснулось. Также произведено обновление входящих в комплект библиотек sqlite 3.6.23.1 и PCRE 8.02, добавлено SAPI для менеджера процессов FastCGI (FastCGI Process Manager), добавлен потоковый фильтр с поддержкой расширения mcrypt, в ext/filter добавлен фильтр full_special_chars, устранено несколько приводящих к краху и утечке памяти ошибок.

Исправленные в PHP 5.3.3 уязвимости:

• Переписана функция var_export() для использования smart_str вместо выходного буфера, с целью защиты от утечки закрытых данных в случае фатальной ошибки;
• В функции shm_put_var() исправлены проблемы, приводящие к разрушению ресурсов;
• Исправлена потенциальная утечка закрытых данных из-за прерывания работы оператора XOR;
• Исправлены уязвимости, связанные с выходом за допустимые границы областей памяти, проявляющиеся в функциях ArrayObject::uasort(), parse_str(), pack(), substr_replace(), addcslashes();
• Исправлено повреждение памяти при неожиданном изменении ссылки в момент вызова callback-метода;
• Устранена ошибка, приводящая к переполнению стека, при использовании функции fnmatch();
• В фильтре разбора chunked-запросов устранено переполнение буфера;
• В sqlite-расширении исправлена ошибка, позволяющая получить доступ к произвольным областям памяти;
• В расширении phar была некорректно организована проверка формата входных строковых параметров;
• Налажена обработка сериализации сессионных переменных, в случае использования в них определенных символов-префиксов;
• Устранено разыменование NULL-указателя при обработке некорректных запросов XML-RPC;
• Исправлена проблема с распаковкой сериализированных значений в SplObjectStorage;
• Исправлены переполнения буфера в mysqlnd_list_fields и mysqlnd_change_user;
• Исправлено переполнение буфера при обработке некорректных пакетов в mysqlnd.