Perché Twitto non è sicuro?

Question

Mi sono imbattuto Twitto, che in pratica è un framework web che si adatta a un tweet. È così breve che posso pubblicare il codice qui:

require __DIR__.'/c.php';
if (!is_callable($c = @$_GET['c'] ?: function() { echo 'Woah!'; }))
  throw new Exception('Error');
$c();

Fondamentalmente cerca un file denominato c.php e chiama qualunque funzione in quei file che è lo stesso nome di $_GET['c'].

Sul sito web del progetto, c'è un grande banner rosso in fondo alla pagina che recita:

»Twitto non è sicuro, non usarlo per il tuo prossimo sito web«

Non sono un guru PHP, ma per me sembra che se prendi tutte le precauzioni che prendi normalmente con un sito PHP standard (sanificazione dell'input dell'utente, ecc.), Dovrebbe essere abbastanza sicuro?

Cosa c'è di sbagliato in questo piccolo framework?

EDIT: capisco perché questo framework non è sicuro così com'è, ma con i controlli di bootstrap e convalida corretti e tutto all'interno della funzione che chiami, dovrebbe essere sicuro di qualsiasi altro framework?