Immer noch gibt es Plugins die Widgets mit create_function registrieren. Die Funktion führt intern eval() aus, das die Ausführung von beliebigem PHP-Code erlaubt.