PHPのFILTER_VALIDATE_EMAILで正規表現チェックしてもCRLFインジェクションが可能な脆弱性が存在するそうです。

PHP の FILTER_VALIDATE_EMAIL フィルタ機能には、正規表現のチェックで電子メールアドレスヘッダの "\n" 処理に不備が存在するために、CRLF インジェクションの脆弱性が存在します。