Es posible, casi cualquier lenguaje es hackeable.

O eso creo... en php solo basta con conocer las mismas funciones capaces de ejecutar acciones riesgosas o sensibles.

Por ejemplo, el ejecutar -incluir- código que no conoces es peligroso.

Así como como ejecutar comandos del sistema, por eso existía una directiva en la configuración de php, que ahora mismo no recuerdo.

Actualmente dicha configuración es obsoleta, así que si no conoces los riesgos de ejecutar ciertas acciones con php es posible que necesites profundizar en la lectura del lenguaje, pues corres el riesgo de dejar puertas abiertas en tus aplicaciones.

Otro ejemplo de hack sería el obtener información de tu sitio automatizadamente; o bien, dejar algún tipo de entrada -formulario de upload por ejemplo- sin control, y no me refiero solo al tipo de archivos y eso... sino a la capacidad de tu sistema para recibir cualquier tipo de petición sin control alguno.

En fin, es un tema verdaderamente complejo, y sin duda hay muchos detalle sin descubrir aún.

Y aún ahora sigue vigente una muy buena frase al respecto: "jamás confíes en usuario".