Para elaborar mi comentario anterior:
La lista de formas en que podría ser vulnerable sería masiva, un conjunto inicial sería el Top 10 de OWASP: Enlace
OWASP top 10
- inyección
- autenticación rota
- Exposición de datos sensibles
- Entidades externas XML (XXE)
- Control de acceso roto
- Error de configuración de seguridad
- Secuencias de comandos entre sitios (XSS)
- Deserialización insegura
- Uso de componentes con conocidos
Vulnerabilidades
- Registro insuficiente & Seguimiento
¿Por qué no se puede agregar seguridad al sistema más adelante?
Para agregar seguridad, necesitaría parchear todos los problemas en el código, que cuando se agrega al trabajo para desarrollar el sistema originalmente sería más que la cantidad de esfuerzo para desarrollar el sistema de manera segura.