Puede - es prometedor. Una aplicación bien diseñada eliminaría silenciosamente la aplicación; o devolvería un mensaje de error correcto de "entrada incorrecta". Que explotó (500) es una buena señal.
Sin embargo, esto no significa necesariamente que sea vulnerable, por ejemplo, podrían estar devolviendo 500 en caso de una entrada incorrecta. Pero ciertamente sugiere que quizás quieras probar un poco más. Intente poner un '19 o sleep (2) = 1 '(sin comillas): si tarda 2 segundos más en responder, está como Flynn.
NOTA: debe estar en un sitio que se le haya pedido que pruebe, uno que controle o en un sitio de demostración diseñado para craqueo. Hacer esto en el sitio de otra persona podría resultar en cargos.