1) Регистрация проходит вне зависимости от правильности каптчи
2) Для входа не обязательна активация по ссылке из почты
3) Картинки можно заливать без авторизации (/images/upload)
4) Защиты от csrf нету
5) При смене пароля, мыла и телефона старый пароль не требуется
6) XSS (неправильный content-type)
http://www.zaimiudruga.ru/images/getinfo1
POST: image_id=<img src=x onerror=alert(1)>