何をもってシステムの脆弱性というのか、というのはしばしば議論になります。セキュリティー診断受けて、指摘されるんだけど、別にそれ要件上は問題ねーし、みたいなのもありますしね。
基本的にシステムの脆弱性ってのはISO27000的には「一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点」であり、脅威とは「システム又は組織に損害を与える可能性がある」ものであると定義されているんですよね。なので、個人のお遊びのシステムがXSS脆弱性をもっていたとしても、それで個人情報が流出したり、レンタルサーバーがダウンして同居している別システムがダウンしたりなどの損害が「発生しないのであれば」それは脅威ではないわけです。
だからといって、そのシステムは欠陥がないシステムか、と言われるとそうとも限らないんですよね。システムが仕様どおりにできていたからと言って、仕様が要件を満たしていなければ意味がないわけで。
「なんだこのクソシステムは」、というのと、「このシステムにはセキュリティ上の脆弱性はありません」っていうのは両立しうるわけです。そのことを理解しないで脆弱性がないからクソであるっていうのもダメだし、クソ仕様だからIPAに通報ってのもダメですよね。それだけの話だと思うんだけど。