En realidad el cambio fue éste (entre otros):
Código PHP:
if ( empty( $key ) || !is_string( $key ) )
return new WP_Error('invalid_key', __('Invalid key'));
// y esto se agregó
if ( empty($login) || !is_string($login) )
return new WP_Error('invalid_key', __('Invalid key'));
Mejor si se actualiza a la última versión.
Documentación de la vulnerabilidad:
http://seclists.org/fulldisclosure/2009/Aug/0113.html