Если сканер, который работает тупо по заданным алгоритмам, которые никак не могут 100% гарантировать, что уязвимость(\и) действительно присутствует, выдает какие то предупреждения, то это далеко не значит, что уязвимости действительно присутствуют. Хоть 1 человек проверил хоть 1 из найденых "уязвимостей"? Сомневаюсь. И в данном случае от Вас уже пошла откровенная, ничем не обоснованная, клевета. Проверьте все выданные гипотетические уязвимости и только потом предъявляйте претензии к исполнителю. Если так сильно хочется действительно быть уверенной, что движок, после доработки, не содержит ни одной, хоть сколько-нибудь, "полезной" уязвимости - можете скинуть доработанный двиг и то, что выдал сканер, мне в ПМ, а я проверю и опишу, какие уязвимости (если таковые будут) действительно имеют место быть.