Non per smorzare l'entusiasmo, è ottimo che vengano pubblicati advisories : D
Ma da che lato questa è una vulnerabilità ? Poi perchè nominare TopHost in particolare? E' un comportamento presente in tutti gli unix: i nomi utente sono dati necessari per il funzionamento della multiutenza, la chiamata che fai a posix_getpwuid() accede -addirittura- a /etc/passwd per tradurre da uid a nome utente, come è giusto che sia. Insomma un ls scritto in php non è certo un problema di sicurezza.
Il codice può comunque essere utile per recuperare informazioni in caso di PHP molto restrittivi, ci starebbe ad esempio bene come modulo di weevely : D (non ricordo se supporta ancora i moduli in php :F , e magari si può spostare in una sezione più adatta, non certo advisories. Cheers