Hola,
... pero es que es un tema la mar de complejo. No hay software perfecto, y, por lo tanto, la VCL para PHP tampoco será perfecta. Ahora bien... se irán descubriendo errores y se irán corrigiendo (es de su poner, vamos). Pero planteado como tú lo planteas... tanto valdría decir que sí como decir que no.
El asunto requeriría de un estudio profundo sobre la VCL para PHP... algo que no parece que pueda hacerse en un momento. Pero, es de suponer que los autores de las librerías en cuestión no sean unos cafres... ¿no? Es de suponer que, en principio, puedas confiar en la VCL para PHP, porque de no ser así, apaga y vámonos.
No sé... me sabe mal haberme metido a responder, porque, desde luego, no he usado ni estudiado la VCL para PHP como para poder decir una cosa u otra... pero,
buscando en Google por VCL for PHP vulnerabitilies los resultados no parecen malos, en cuanto a que se habla de la VCL for PHP, pero, no parece encontrarse nada directamente relacionado con sus posibles vulnerabilidades.
También puede haber vulnerabilidades en PHP, Apache... me remito a lo de arriba: no hay software perfecto.