При авторизации отдельно проверяется имя пользователя и пароль, кроме того не установлено максимальное число попыток.
vulners.com/securityvulns/securityvulns:doc:564