PEAR 1.0 - 1.3.5 のバージョンに含まれている PEAR Installer に、任意のコードが実行されてしまう可能性があったそうです。PEAR 1.4.0 以上ではこの問題はないとされています。
現在は PEAR 1.4.6 が公開されていますので、1.3.5 以下の古いバージョンの PEAR を使っている場合はアップデートしてください。
http://pear.php.net/advisory-20060108.txt