http://www.jpcert.or.jp/wr/2006/wr063001.txt
mod_rewriteに関する脆弱性。
こういうのでDebianが載っていると、何となく安心できる。

mod_rewriteを使わずにPATH_INFOを使う設定

<VirtualHost *>
DocumentRoot /home/foo/public_html
ServerName foo.example.com

CustomLog /var/log/apache2/access.log combined

RedirectMatch ^/Controller$ http://foo.example.com/Controller/
<LocationMatch ^/Controller/>
        ForceType application/x-httpd-php
</LocationMatch>
</VirtualHost>

LocationMatchで拡張子がなくてもPHPとして動くようにして、スラッシュを伴わない場合はリダイレクトさせる。