este tipo de bug solo se encuentran en cms creados por programadores que dicen que saben pero no saben nada... cada aplicacion que uno crea hay que llevarlas al limite para ver donde hay bug..
Pues como cualquier otro tipo de vulnerabilidades, un programador que de verdad sabe nunca cometeria un RFI, SQL Inj., XSS,... Aunque si va despistado al trabajo se le puede pasar xD
Saludos.