В самом плагине я не нашел ничего такого.

Там где я нашел типа потенциальную иньекцию обрашения происходят либо через файл wp-admin/admin-ajax.php, в клиентской части. И через админку, через edit.php со своим типом страницы и обработчиками в плагине.

Вот там и происходит экранирование.

Если интересно, могу скинуть плагин в личку и показать те места что нашел. Единственное попрошу не сливать инфу о плагине в паблик, ибо он платный и достаточно популярный в рунете.