情報をみると管理者以外がログイン出来ない状況ではswfuの
脆弱性はこのTray.phpの件とは少し違うような気もします。

#article プラグインなどの脆弱性から管理者ログインされ
その上でphpプログラムをアップロードされたと言うことかも
しれません。任意のphpプログラムがアップロードされた
場合は、この手のCMSは何でも出来てしまいます。
最近は、管理者に分からないようにこっそりと動いて
悪用されます。
HAIKの設定をよく見ていませんが、.htaccessを準備して、
swfu/d や swfu/jsフォルダのphpファイルは実行出来ない
ようにするのも対策のひとつです。こうすると万が一
phpプログラムがアップロードされても実行出来ません。
.htaccessを設置するなら念の為、Perlのplやcgiの拡張子の
ファイルも実行出来ないように設定するのが良いと思います。

アップデートが公開されていて問題なく使えるようなら
差し替えた方がいいのでしょうね。