Aucun bug de sécurité, c'est juste un option de configuration.
Lire :
http://httpd.apache.org/docs/2.2/mod/core.html#options
Donc, il suffit de ne pas mettre l'option "Indexes"
La suppression de l'attribut "r" est aussi une solution (le "x" suffit pour accéder aux fichiers contenus)