Sí, claro que es vulnerable.

Y si yo mando, por curl, por ejemplo, a procesar.php los datos 'seleccion' con el valor que yo quiera?

O más fácil, con WebDeveloperToolbar, puedo modificar el HTML que he recibido, cambiarte ese valor, y darle a submit (y te enviaria el valor que yo he puesto!).