Если набрать в адресной строке FF 3.1 какое-нибудь слово с несуществующим сайтом, например, "п;%да", то он молча находит его в Яндексе и подставляет первый попавшийся сайт. В моем случае он сразу молча открыл какой-то порно сайт. Хорошо, что мой антивирус (SAV CE) нашел на открытой странице трояна. А если бы у меня не было антивируса?
Теперь представьте, что вы пишете что-то в аське, и по ошибке попадаете не глядя в адресную строку браузера и жмете Enter...
В предыдущей версии Гугл хоть .предупреждал иногда об опасности открытия страниц с некоторых сайтов

И в чем тут дыра заключается?

а что ещё вы желаете получить по такому запросу?

переключите в about:config параметр keyword.enabled в false и переходов не будет

Современные браузеры (все как один) показывают страницу с результатами поиска, обычно в Гугле, или другом поисковике, если позволяют поменять поисковик по умолчанию. А не подставляют первый релевантный результат поиска. Вот в чем опасность.

Есть правда некоторые браузеры, которые кодируют кириллицу в международную транскрипцию, подставляют справа COM или RU, слева, возможно, www и ищут такой сайт. И часто находят. Это Mozilla SeaMonkey и Opera. Может и другие есть.