ソース見れるってのは、どっちかっていうとサーバーの設定の問題じゃないの?
CGIが実行されずにテキストとして送られてるわけなんだから。

他には、パラメータでファイル名を受け取って、その内容を加工して表示したりするCGIに
好きなファイル名を渡せちゃう、みたいな脆弱性も考えられる。