Also unter erheblichen Sicherheitslücken verstehe ich wie du "Datenklau möglich" oder ähnliches. Das was du festgestellt hast war lediglich dass eine Anmeldung ohne Kontrolle der Klammdaten möglich war. Sicher ist das nicht minder schwerwiegend, aber zwischen Scriptmanipulationen und Datenklau ist ein riesiger Unterschied.
Wie du den oberen Postern entnehmen konntest stimmst die Behauptung von Aradiv ja nicht. Warum sollte er nur von einem User die Daten übernehmen und von den anderen nicht?
Das scheint mir etwas fragwürdig. Wenn Aradiv kann, dann sollte er seine Behauptung ja belegen können. Ich bin gespannt.

* EDIT *
Außerdem frage ich mich, warum meine Daten nicht übernommen wurden.