вообще непонятно как эта уязвимость появилась. корень веб сервера паблик директория и энв по вебу не доступен. так что это или поклеп или кривонастроенный вебсервер и это проблема не фреймворка
Сталкивался на хостинге, когда сайт в директорию паблик заливают и из корня через .htaccess прокалывают на public/index.php Пробовал вручную ввести /.env - файл скачивался. Проблему решил путём размещения сайта в директорию выше и заменой public на папку с доменным именем.