Bueno primero es para una version un poco vieja la 3.5.2 version muy poco usada, y denunciando esta en la 3.5.4, y vbulletin creo que va en la version 3.6.5.
Segun entendi lo que hace es sacar la contraseña encriptada en md5, existen diccionarios de fuerza bruta que desencritan minimo palabras de 4 letras, y creo no estoy seguro que la mayoria de los passwords debe ser superior a 6 caracteres asi que por ese lado ñao.......
md5 es una encriptacion que ni que el que la invento a podido desencritarla, asi que hay si pailas.......
demasiado viejo y vbulletin se caracteriza por seguridad, si me hablas de phpbb te creo