Die schlimmste Sicherheitslücke, die ich je gesehen habe, war in eine frühere Version von MS SQL Server eingebaut, Version 7.0 oder 2000, ich weiß es nicht mehr genau.
Bei der Installation dieser Version von SQL Server vergibt das Installationsprogramm standardmäßig ein leeres Kennwort für das "sa"-Konto !!! (das sa-Konto ist das SQL-Administratorkonto, es kann alles auf dem Server tun)
Dies ermöglichte praktisch jedem den Zugriff auf einen SQL-Server, der nicht durch eine Firewall geschützt war.
Aber es kommt noch schlimmer.
Damals wurden viele SQL-Server so installiert, dass der Dienst unter "lokaler Systemauthentifizierung" ausgeführt wurde, wodurch der SQL-Serverprozess unbegrenzte Kontrolle über das System erhielt.
Da man COM-Objekte im SQL-Server erstellen kann, hatte man plötzlich vollständigen Zugriff auf den Computer, auf dem der SQL-Server lief.
Viele Websites sind auf diese Weise gehackt worden.