Posible, si. Aunque es mucho más probable, como han señalado otros, es una mala configuración, lo que provoca que las solicitudes no se envíen al intérprete y revela el código fuente.
Una mitigación común a esto es mover archivos confidenciales, como un archivo de configuración que contiene credenciales de base de datos, fuera de la raíz del documento. Los marcos MVC fomentan esto mediante el uso de un controlador frontal. Es decir, el único código fuente expuesto a la raíz del documento es un pequeño archivo index.php
. El resto del código fuente se lee desde fuera de la raíz del documento. Esto minimiza el impacto de la mala configuración del intérprete.