El peligro no está en la función, sino en cómo se le pasan los parámetros:

http://en.wikipedia.org/wiki/Format_string_attack
http://crypto.stanford.edu/cs155/papers/formatstring-1.2.pdf

Para el que no lo entienda, es que a printf se le pasa una cadena sin más:

printf ("Hola mundo!");

Pues que pasa si le pasas...

printf ("Hola mundo %d%d%d!");

Pues que leera los tres ultimos datos de la pila... es cosa de ensamblador. La cosa es que al llamar a una funcion se escriben diversos datos en la pila, y en la funcion printf recupera de la pila los datos recibidos antes de la funcion cuando sale una caracter de control... A resumir, podrias leer cualquier dato de la pila.
Pero... se podria escribir? Resulta que un caracter especial escribe el numero de bytes leidos... Asi que controlando los datos... ya se sabe.

Mas en el libro "Hacking. Técnicas fundamentales". Fantastico libro sobre C, ensamblador y hacking!