Häufig wird dafür eine SQL Injection (http://www.php.net/manual/de/securit...-injection.php) genutzt.
Klamm-EF hat mittlerweile einen API-Key in Verbindung mit einer IP Whitelist, da wäre es theoretisch sogar fast egal, wenn jemand anderes den API Key auslesen kann.

Da man damit aber die komplette Datenbank auslesen kann, sollte man die Lücke natürlich schon schließen, bedeutet Code-review und alle Datenbankanfragen, die Userdaten ($_GET, $_POST, usw.) enthalten prüfen auf korrekte Behandlung der Daten (mysql_real_escape_string(), ...).

Könnte auch an einem include/require liegen, das man manipulieren kann, sodass es Dateien aus dem Adminforce einbindet im Userbereich (hier auch alle include/require mit $... im Pfad prüfen).