XSSセキュリティホールにはならないが、クリッカブル作成（リンクを張る奴）がかなりあれ。直さなきゃurlの自動リンク機能は使えないな。
機能を殺すには…コード追っかけてくださ…

追記

脆弱性を誘発する文字で置き換えるのか、脆弱性が誘発しない文字列だけ対象にするのがいいのか。
Perl、PHPなどのWebアプリケーションごとに、推奨されるサニタイズ方法がどっかにないものかなぁ。