Из-за недостаточной проверки ввода пользователя есть возможность добавлять пользователей.
vulners.com/securityvulns/securityvulns:doc:617