Bueno, entre otras cosas cabe mencionar lo que sale al final de la nota que está en en link:
Cita: En opinión de los autores del informe, los malos resultados de IIS se deben, en parte, a que los programas de Microsoft son utilizados en zonas donde la piratería está muy extendida, y en algunos de estos casos las actualizaciones automáticas están desactivadas o los parches de seguridad no se encuentran disponibles para quienes no pasan por caja, lo que acaba provocando que las vulnerabilidades se acumulen y conviertan a estos servidores en presa fácil de los delincuentes informáticos.
Quien sabe cuantos de esos servidores no tendrán instaladas versiones pitaras de Win sin actualizar, con muchos fallos que están corregidos en las actualizaciones.
Además no dicen bajo que SO están corriendo cada uno de los servidores, no se si IIS pueda ejecutarse bajo una plataforma Unix, pero tampoco indican si Apache está corriendo en Win2003 server, XP, 2000 o 95
, ni siquiera que distribución de Linux, Bsd o al menos si usan Unix.
Para lanzar una afirmación como esa debieron dar más info de los servidores en los que hicieron las pruebas, así creo que podríamos saber si lo inseguro es el SO o el servidor web (IIS o Apache).
Saludos