Пассивная xss при отображении созданной ссылки
Активная xss в My URLs
Уязвимый параметр "Короткая ссылка"

Пассивная xss при регистрации с ошибкой (Например, если неправильно ввести каптчу)
Уязвимые параметры "E-mail", "Имя"


Раскрытие содержимого каталога
http://fbi.pp.ua/images/
http://fbi.pp.ua/captcha/


Можно сделать ссылку, которая редиректит сама на себя.
Можно сделать ссылку со своим коротким именем без регистрации.


И капча какая-то неадекватная)
Например картинка

А ответ к ней был AEHNQ