Esa noticia debe ser un tanto antigua entre las miles de veces que han encontrado inyeccion sql en facebook porque ahora ya no dan mensajes de salida en errores, antes tenian activado el error_reporting pero ya no, asi que es imposible en la actualidad ver ese tipo de mensajes de error.
Por ejemplo:
http://m.facebook.com/browse/likes/?id=-1 debería mostrar un warning de sql pero no lo muestra porque deshabilitaron el reporte de errores de php. De todas no quiere decir que sea una inyección, es solo una muestra.
Saludos.