Un bug o vulnerabilità nel server (Apache o il motore PHP), o il vostro codice PHP proprio, potrebbe consentire ad un attaccante per ottenere l'accesso al tuo codice.
Ad esempio se si dispone di uno script PHP per consentire alle persone di scaricare file e un utente malintenzionato può ingannare questo script per scaricare alcuni dei file PHP, quindi il codice può essere trapelato.
Dal momento che è impossibile eliminare tutti i bug dal software che si sta utilizzando, se qualcuno realmente vuole rubare il codice e dispone di risorse sufficienti, c'è una ragionevole possibilità che siano in grado di farlo.
Tuttavia, finché si mantiene aggiornato il server, qualcuno con un interesse casuale non è in grado di vedere l'origine PHP a meno che non vi siano evidenti vulnerabilità di sicurezza nel codice.
Leggere il Security section of the PHP manual come punto di partenza per mantenere il codice sicuro.