Ya entiendo la vulnerabilidad, y es que si se usa como cabecera HTTP_REFERER un enlace que contenga código Javascript se ejecutará al usar el enlace que el servidor está insertando dentro del cuerpo del documento.

Haz lo siguiente, dinos cuál servidor usas, así sabremos qué habría que modificar para que no suceda ese error.

P.S.: Por lo pronto, configura el servidor para que si no se encuentra un archivo redireccione a un mensaje de error personalizado que no use el HTTP_REFERER (o que lo filtre antes de mostrarlo).