написал: Но больше интересует что делать тем клиентам, которые по ряду причин застряли на php7.4 и их не обновить так просто. В каком файле уязвимость, как можно пофиксить?
Даже на такие сайты с активной лицензии можно установить модуль проактивной защиты - есть обновление. Этого для защиты достаточно.