masugata さんのところで知ったのですが、mb_strcut() の第2引数(文字列の切り取り開始位置) に不正に大きな値を入力するとメモリ破壊が起きる可能性があるという問題が発見され、修正されたそうです。

• http://d.hatena.ne.jp/masugata/20051216#p2

以下のように実行するだけでも再現できました。

$ php -r 'mb_strcut( "A", 200000000 );'
Segmentation fault

おそらく、これだけで大きなセキュリティ問題にはならないように思いますが、外部から mb_strcut() の第2引数を与えるようにしている場合は、文字列長の確認を行ってから mb_strcut() を使用すれば安全です。