Так php работает на сервере. Если только другие сайты на виртуальном хостинге поломать. Но до них добраться надо. Или javascript на php вывести, чтобы он у клиента что-то плохое сделал.
Иными словами - вредоносность можно реализовать, а вот распространять как будете - большой вопрос. Не та технология.