cuando el script falla, se interrumpe y devuelve el error si no se ha especificado que se oculte y sólo los fragmentos html, es imposible que te devuelva el código de php ya que este primero se traduce en memoria antes de ser interpretado, lo primero que hace es verificar los errores.

los puntos más graves de vulnerabilidad son:

magic_quotes e inyecciones SQL: prefiero no usar el magic_quotes dan mucho problema

inyecciones html / javascript: cuando no validas la presencia de un código javascript en un post de un foro por ejemplo

inyeccion de php: la más grave de todas, es cuando no validas bien un upload (de imágenes por ejemplo) permitiendo subir un fichero php que posteriormente el hacker pueda ejecutar.

robo de contraseña: si no implementas openSSL o algo similar en el logueo cualquiera puede filtrar la contraseña al iniciar sesión.

del resto php es tan seguro como los demás lenguajes de script, todos presentan en algún grado los mismos problemas.