В старых версиях php, конфигурация по умолчанию разрешает автоматическую регистрация переменных COOKIE. mod_security не проверяет значения COOIKE для фильтрации. Это может быть использовано для обхода mod_security и внедрению потенциально опасных значений переменных.
В случае подобных конфигураций php и наличия уязвимого скрипта атаку можно провести прозрачно для mod_security!