вот что было в том давнем отчете - похоже это как раз такой случай
Поиск пользователей
Описание
При включенном на сервере модуле
mod_userdir возможно определение
наличия пользователя в системе. В
дальнейшем атакующий может
воспользоваться этим для подбора
пароля к существующему пользователю.
Например: /~root
Решение
Отключить использование модуля
mod_userdir.
Ссылки
http://www.apache.org/