Не в курсе, никогда этим не пользовался. В мане написано
PREVENT CHANGES FOR A PACKAGE
hold
hold is used to mark a package as held back, which will prevent the
package from being automatically installed, upgraded or removed.
Я честно не вижу способов сломать лампу обновлением. Ну только если там прям какой-то дико старый пакет пехапе, но в таком случае разраб сам на это подписался и должен страдать.
Убунты под рукой нет, а проверьте у себя нет ли зависимости между deb пакетами mysql и php, ну и nginx и php. Это и будет Вам ответом, если deb не притянет новую версию, и новые библиотеки, то смена версии может повлечь смену синтаксис запросов.
Единственное, что не обладает в этой связке обратной совмнестимостью, это PHP. Но разные его версии имеют отдельные конфиги и сокеты для подключения (если только конфиги не очень старые и там порт вместо сокета). Так что бояться нечего
