Уязвимости.

Подобной дрянью нет.
Но надо понимать, что уязвлен может быть любой движок, если администратор интернет-магазина заразится трояном типа Pinch, который украдет логин и пароль на FTP из популярных FTP менеджеров.
Затем троян либо перешлет эти данные для перепродажи в хакерских сетях, либо автоматически попытается заразить администрируемый сайт.
Троян ищет все папки на FTP, затем ищет все index.php index.htm и т.п. в этих папках, и пытается записать вредоносный код в эти файлы, обычно это iframe, хотя бывает и внешний javas c r i p t, который уже пытается заразить компьютеры пользователя. Однако index.php движка зендирован и при попытке заразить - приходит в негодность, сайт перестает работать, что не приводит к дальнейшему заражению пользователей. Если это произошло - администратор должен вылечить свой компьютер и звонить в техподдержку с просьбой восстановить сайт из бекапа до заражения.

Админам можно посоветовать не хранить пароли к сайтам, использовать Portable версии с флешек и т.д.