Непроверяемый ввод пользователя позволяет поменять пароль любого пользователя или создать нового.
vulners.com/securityvulns/securityvulns:doc:458