Es könnte jemand über einen Button ein Script starten, das per Ajax in einer Endlosschleife deinen Server traktiert. Die SOP greift hier ja nicht.
Das ist aber keine neu enstandene Sicherheitslücke. Eine DOS-Attacke lässt sich sogar mit der Windows-Konsole ausführen.