http://www.php-security.org/MOPB/MOPB-01-2007.html
Это критическая уязвимость, которая не будет закрыта в связи с тем что это создаст проблемы разработчикам проприетарных модулей.
При том что достаточно хотя бы аккуратно обрабатывать переполнение значения счетчика ссылок (хотя бы просто прекращением выполнения скрипта и сообщением об ошибке).
Ну да, это для команды PHP слишком неочевидное решение, проверка на переполнение это слишком сложный и громоздкий код, который требует квалификации куда более высокой чем у команды разработчиков :)
Куда катится этот мир...