Entonces lo más probable es que fuese lo que te he comentado, ya que si el usuario que hizo el hackeo es capaz de cambiar el valor de $_SESSION['usuario'] podría elegir a que usuario le cambiaba el pass, ahora no hay posibilidad a elección, se cambia al usuario que le corresponda la contraseña introducida.

A priori no le veo más vulnerabilidades a ese script.

Un saludo