Creo que el error se encuentra aquí:
Código PHP:
curl_setopt ($ch, CURLOPT_POSTFIELDS, "app=page&inc=login&op=auth_login&username=$username&password=$pass");
Como podemos ver de ninguna manera el usuario y contraseña se obtienen por el formulario o el parámetro POST. Así que opino que hay en el código anterior es donde esta la vulnerabilidad.
¿Que opinan Ustedes?
En el formulario solo recibe un numero de celular, código país y el cuerpo del mensaje.