Friamente si, .. es la misma vulnerabilidad .. pero por lo menos no te mezclas con una variable de sesión .. o una cookie .. o una de servidor ($_SERVER ..), etc.

Existen casos en los que debes aceptar una variable que provenga indistintamente de un URL (GET) o llegue por un formulario (POST) o incluso esté en una cookie.

Lo lógico es que si tu esperas los datos por GET .. así los tomes en su array superglobal asociado: $_GET .. y no usar por usar $_REQUEST que contiene los tres arrays superglobales mencionados con alguna intención tipo "y si me dá por cambiar el método" ..

Un saludo,