Поле профиля Статус воспринимает опасные html-тэги (по умолчанию эта
опция включена) и может использоваться для выполнения атак типа XSS а
также некоторых других корыстных целях теми, кто может менять свой
статус (по умолчанию администрация, начиная от группы Модераторы)

Поле профиля Статус по умолчанию воспринимает только 25 символов, но
это легко обходится.

Пример: <body onLoad=alert('ok')>