Объединенный Открытый Проект

1) Search.cgi в моей версии не используется начиная с Release 3, поэтому его можно просто удалить. Вместо него используется search2.cgi, который имеет несколько другой формат (хотя и не исключаю, что там может быть аналогичная уязвимость). Еще советую в каталог search положить файл .htaccess со строкой Deny from all. Это запретит выполнение файлов как скриптов в данном каталоге (работает только на Apache).
2) Тут надо поставить проверку на параметр $uin (и $aolname) в этом самом misc.cgi и проверять его на наличие нежелательных символов (удалять все не-цифры для ICQ и неалфавитно-цифровые символы для aol).
3) в моей версии это исправлено в Release 4
Есть еще более радикальный вариант: перейти на мою новую разарботку - Intellect Board.

Да нет, почему же... Просто на SecurityLab писали либо про оригинальную английскую версию, либо про версию от Рубоард...

Нет, уязвимость 2 осталась, но использовать ее довольно затруднительно (точнее сказать, без использования социальной инженерии - вообще невозможно).