Дело в том, что на тот момент никто из нас не догадался, что php5.3 (и так было аж до 7й версии php) функция in_array работала с особым нюансом и случился курьезный момент: пользователю с ником 000000 (ну или похожий на него, точно не помню сколько нулей было) выдались админские права, так как in_array('000000', array('0x00')) в старых версиях php возвращал TRUE :) Т.е. php считал, что ник '000000' и '0x00' - это одно и то же.

Насколько помню про это сам пользователь сообщил.

Во внутренности работы этой функции в php не лез, но явно там было где-то приведение к числу, так как оно работает и на других парах, например in_array('123', array('0x7B')) также вернет TRUE, причем работает это как с десятичными числами в строке, так и с шестнадцатеричными и восьмеричными.

Исправлялось просто: нужно было третий аргумент в in_array всегда указывать TRUE, тогда php будет делать сравнение значений без приведения типа.

Вот такая история, как случайный пользователь стал админом крупной площадки из-за недостаточной внимательности и каламбура типизации php :)