Un script que permita subir archivos y que no sea seguro puede permitir subir (reemplazar) un archivo php que ya tengas en tu servidor.

El que haya estado varios años sin hackear no quiere decir que sea poco vulnerable, quizá sólo nadie lo había intentado.

Te sugiero que coloques los cógios que suelen ser vulnrables, como es principalemnet el login, el mecanismo de autentificación para secciones o páginas que uso restringido a usuarios registrados, y subida de archivos.

También podrías indicar cómo haces tus inserciones a la base de datos si es que tienes, para ver si estás permitiendo inyectar código o no.