Подробнее: всегда надо расчитывать что скрипту может передастся не то что ты планируешь, а совершенно другое. Соответсвенно - ты знаешь что передается скрипту календаря, отсюда пропускай только то что надо, а на остальное ставь фильтр.
По ссылке:
Что может быть:
На форуме в теме или тебе лично по Форумной личке придет письмо:
"С вашего сайта незаконно используют ваши программы! Тут ->" и дальше ссылка на какую-нить страницу. Ты туда зайдешь посмотреть и попадешь на какую-нить липовую страницу. А на этой странице будет в фрейме та ссылка что вверху, но вместо <script>alert(/testing_by_censored!/)</script> будет прописан путь до снифера, который твои куки будет записывать в файл. Так как куки и от Форума запишутся (форм с сайтом на одном домене), то можно зайти зарегистрироваться под пользователем и потом заменить куки на твои. Или же поставить хэш пароля (который также для твоего форума хранится в куках) на расшифровку и удачно расшифровать его.
Тогда можно заходить под Админом и делать с Форумом что хочешь.
Можно пойти и еще дальше (я правда не очень хорошо знаю этот Форум). Можно под Админом разрешить загружать файлы с расширением php (pl, asp) закачать туда веб-шел и попробовать запустить. Если все пройдет нормально - то уже можно будет на твоем сайте редактировать/перемещать/удалять и т.п.

Ну, вообщем, это набросок что может быть при уданом внедрении. Но все зависит и от тебя. даже если и есть XSS не факт что попадут в Админку. Если попадут в Админку - не факт что закачают вебшел. Если закачают вебшел - не факт что он запустится. Ну и т.п.