В теме одно сообщение

[Snap]

Есть текстовый инпут - поисковая строка. Если ввести в поисковой запрос определенную комбинацию (слов и символов), то получится, так что в input'e ничего не будет, а вот под ним на сайте визуально будет выводится поисковой запрос. Можно даже вывести на сайте изображение, если ввести ссылку на него в запросе и т.п. Понятно, что видно это будет лишь по определенной ссылке с запросом в параметре.

Хотел бы спросить - это является функциональным багом или же больше ошибкой защищенности? Если второе - насколько это может быть серьезным.

[Freiman]

Скорее ошибка защищенности, которая, в свою очередь, вызвана функциональными недоработками.

Это может быть очень серьезным, если на сайте есть, например, привязка какой-либо чувствительной информации к кукам.
Второй вариант - фишинг. Человек приходит по ссылке на ваш сайт, вполне себе приличный, его редиректят сразу же на фишинговый и выманивают нужные данные.
В общем, все радости своего джаваскрипта на вашем сайте :)