Php версии 5.3.9 (и выше) содержит большое количество исправлений. Но среди прочих есть один патч, который при использовании php-fpm в некоторых случаях приводит к появлению сообщения Access denied.
Это бэкпорт усиливающего безопасность патча из php 5.4 для PHP-FPM SAPI #55181.
Суть патча заключается в ограничении принимаемых php-fpm файлов на обработку по их расширению. Соответственно, в настройки пула добавляется новый параметр:
security.limit_extensions = .php
По умолчанию он содержит только одно расширение .php. В связи с этим, если на сайте используются отличные от .php расширения (например .phtml), вместо контента php вернет в браузер строку Access denied. Поэтому, при обновлении php до версии 5.3.9 и выше, необходимо быть внимательным и добавить в соответствующие пулы этот параметр со всеми необходимыми для работы сайтов расширенями.