Que sean vulnerables .. pues que te voy a decir .. no hay nada seguro hasta que llega otro que sabe mas que el otro y le "revienta" su seguridad ...

De hecho .. PHP cambió el uso de las variables "externas" (como globales tipo $algo para todo) por el uso de las variables superglobales (OJO, importante: que principalmente discriminan el método usado para enviar esas variables) por una brecha de seguridad con los $archivo_name .. etc (de campos FILE de formularios)

Por el momento, usa register_globals a OFF en tus servidores y programa tus aplicaciones usando los arrays superglobales, es lo más seguro hasta la fecha que puedes usar en PHP.

Un saludo,