Если так хочится куда то отписаться, то отпишись на мыло написанное в копирайте, если таковое имеется, может это и поможет устранить баг. А ты та хоть скажи чо за прога?

Оповещение всего мира напрямую - без контакта с вендором, не очень хорошая идея.
Я бы рекомендовал сначала списаться с производителем или владельцем ресурса. Если это кажеться муторным, можно воспользоваться услугами координатора (CERT-бесплатно, а iDefense ещё и денежку заплатит).
Ну а разглашение - bugtraq и fuul-disclosure.
В россии наиболее известный координатор - 3APA3A. Если лень писать или проблемы с английским или просто не знаешь что делать - кинь ему, он в своей вежливой манере обзовет производителя дураком, и естественно тебя укажет в авторах.
Я рекомендую последний путь, почему бы не дать хорошим людям правильную возможность попиарить свой ресурс.

Информацию о любых уязвимостях можно отправлять на vuln@security.nnov.ru. Я отправлял, ЗАРАЗА вывесил.