Демистификация атаки обхода каталога

У меня есть приложение, развернутое на Apache, и когда я нажимаю URL-адрес приложения следующим образом:

http://api.abc.com/etc/passwd

тогда я могу увидеть содержимое этого файла в браузере. Я хотел отладить, кто обслуживает этот контент, поэтому я попытался сделать следующее: В коде приложения я добавил строку для чтения содержимого этого файла с помощью вызова get_file_contents() и добавил файл.htaccess, чтобы запретить доступ к этому файлу в apache.

После этого при нажатии на тот же URL я получаю ошибку 403, однако приложение все еще может прочитать файл через get_file_contents().

Означает ли это, что приложение не имеет здесь никакой уязвимости, и это Apache, который непосредственно обслуживал файл?