Mira creo tu no entendiste lo que quize decir ..
Claro que las vulnerabilidades se hacen por medio del foro (script) pero tambien por ahi se pueden hacer inyecciones SQL.

Ahora a la segunda opcion de que si no quiere actualizar su foro pues aya el por ke ya sabe el peligro que corre de nuevo ;)