レスポンスヘッダへのPHPクレジットだけじゃなくEaster Eggsとかも出ちゃうんですね。
（Easter Eggsというか、phpinfoの画面から呼ばれる画像など）

https://www.webappsec.jp/modules/bwiki/index.php?PHP%20Easter%20Eggs%20%A4%F2%BB%C8%A4%C3%A4%BF%A5%D0%A1%BC%A5%B8%A5%E7%A5%F3%BF%E4%C2%AC
http://shiflett.org/blog/2006/feb/php-easter-eggs
http://ryouchi.seesaa.net/article/37629160.html

こういうのがデフォルトOnになってるらしいです。

マニュアルを見てもなんだか釈然としないです。
http://jp.php.net/manual/ja/ini.core.php

expose_php boolean

(例えば、Web サーバヘッダに PHP のサインを追加することにより、) PHP がサーバにインストールされていることを表示するかどうかを 指定します。これは全くセキュリティ上の脅威ではなく、サーバ上 で PHP を使用しているかどうかを調べられるようにするものです。

expose_php = Off がデフォルトにならないかなあ・・・。