Si, hai ragione sul passare direttamente un array a $_SESSION, ma invece non ho capito per nulla il resto del tuo discorso: perchè non sarebbe considerato un bug? Hai provato a segnalarlo?

Che altre stranezze dovrei vedere? Io non ne ho trovata nessuna usando normalmente gli elementi dell'array $_SESSION...

Perchè il fatto che la sessione venga serializzata in un file è importante ai fini di questo discorso?

Non capisco, mi spieghi che intendi?