Eu falo de bugs por experiencia propria... A unica bug que muitos conhecem é a que vinha com o phpbb do Php-nuke e a bug que deixava adicionar Super utilizadores.
Pode ser que existam mais vulnerabilidades, mas pouca gente sabe dessas vulnerabilidades.
Quase todos CMS têm uma vulnerabilidade.