Уязвимы понятие растяжимое и не совсем понятное, так как каждый подразумевает разные понятия.

Я когда этой темой занимался (лет так 5-6 назад) то попадал на какие-то зарубежные сайты однодневки, то религиозные, то вовсе не понята суть содержимого, то с фоточками своей кошечки-собачки и т.д. и таких миллионы сайтов.

Разработчики PHP делают всё чтоб проблем было меньше.

В DLE знаю баг, он суть которого сводится к загрузке изображения на сервер, без капч и каких либо преград, до ∞ .

По факту это тоже уязвимость, в IPB знаю тоже траблы. И на эти движки юзают миллионы.

P.S.№2. Знаю сейчас набегут словесные гуру-хацкеры всех мастей, и начнут тулить что где есть работа с БД , там они найдут SQL уязвимость.

Для таких словесных боевых хацкеров, могу сварганить форму, начнете не на словах , а на деле обламывать себя.