A Drupal 7 az 7.36-nál jár. Tuti mindegyik a legfrissebb?
A fenti probléma egyébként mindenhol visszatérő mára. Ami védhet, illetve főleg "esemény utáni" jellegű, az egy .htaccess file vagy a szerver konfigba beállítás, hogy a sites/* alatt tiltod a PHP futtatást vagy meghívást.
Ugyanilyen bugokat használnak ki WordPress vagy Joomla esetén is.
A.