Sunucu güvenliği yetersiz ise, firma siteniz host müşterilerinizle aynı sunucuda ise herhangi bir müşterinizin hesabına atılan shellden symlink yapılarak sizin sitenizin config bilgileri okunabilir.
Açığı direk whmcs de aramamak gerek.

Şunu yaparsanız symlink engellenir gibi direk bir çözümü yok maalesef detaylı olarak bazı güvenlik kuralları eklemek gerekiyor, kaba taslak özetlemek gerekirse mod_securityi güncel kurallarla çalıştırmak, followsymlink gibi kuralları php taraflı engellemek symlink süreçlerini süreci başlatan hesap dışındaki hesaplarda deaktif etmek, apache dso modda çalıştırarak özel php.ini çalıştırılmasını engellemek gerekiyor.