Por casualidad no será el tema de poner ' (apóstrofes) en el user y pass y así construir una cadena SQL que valide al 'entrometido' como un usuario registrado?

Si es así, no es un problema de seguridad en ASP... es un descuido del programador (a mi me pasó y perdí muchos datos de estadísticas de usuarios ... suerte que tenía un back-up reciente de la BD )