Nun, wer das Paket Infor-XPPS (Brain, Rembold+Holzer) kennt, der sollte auch hier die größte Sicherheitslücke kennen:
Mittels Programm XXUSER kann man den aktuellen Job auf jeden x-beliebigen User switchen, natürlich auch QSECOFR.
Einfach "call xxuser qsecofr". Mit "call xxuser ' '" kommt man wieder zurück und das ganz ohne Kennwort!

Da nun mal jedes Programm, dessen Parameter man kennt, auch per SQL aufrufen kann, kann man sich ja gut vorstellen, dass man auch via ODBC ein riesiges, zusätzliches, Scheunentor findet.
Zumal der Aufruf von QCMDEXC mittels Wrapper-Prozedur ja auch ohne Längenberechnung möglich ist.

Da finde ich den obigen IBM-Fehler ja geradezu lachhaft, oder hat den mal irgendwer bemerkt?