Уязвимость присутствует в поле комментария к видео (чтобы оставлять комментарии, вы должны войти под своей учетной записью).

Источник: http://blog.insecurity.ro/youtube-html-code-injection/ + видео по эксплуатации уязвимости

UPD: Кажеться уже не актуально - фикс, только недавно работало

уже заюзали http://lenta.ru/news/2010/07/05/youtube/

0_0 как можно на таком сайте не отфильтровать

Все уже отфиксили, как я понял.