Jeder hätte dort jederzeit Schadcode hochladen können.
- Textbausteine werden über Smarty geparsed. Bis vor 5.3 sogar ohne große Einschränkungen.
- Über den MediaManager kann alles mögliche hochgeladen werden. Shopware haftet hier als Betreiber der Webseite
- Man kann böses Javascript einbetten
- Es gab sogar eine Möglichkeit PHP Code hochzuladen und auf dem Server auszuführen (PluginManager war zwar versteckt, manche Funktionen konnten jedoch ausgeführt werden)
Ich denke, es wurde wirklich Zeit, bevor etwas Schlimmes passiert und es dann einen großen Aufschrei gibt 
Viele Grüße
edit: Das Zurücksetzen alle 4 Stunden ist keine Sicherheit. Auch das kann automatisiert umgangen werden.