Apache HTTPD: ‘Options -FollowSymLinks’ は不完全』(ダメ出し Blog),

この問題は、Apache HTTPD の OptionsFollowSymLinksSymLinksIfOwnerMatch の解説に簡単ながら触れられている。
http://httpd.apache.org/docs/2.4/ja/mod/core.html#options :
このオプションを省略したからといってセキュリティの強化にはなりません。なぜなら symlink の検査はレースコンディションを引き起こす可能性があり、そのため回避可能になるからです。
(snip)
というわけで、この攻撃の根本的な対策方法は「シンボリックリンクを作らせない」しかない。