Воспроизвести и пофиксить уязвимость авторизации OpenID

У знакомых есть старый проект, на 100% состоящий из плохого кода, палок и непонятной субстанции.

Прилетел репорт от whitehat: могут войти в систему от имени любого пользователя.

В проекте используется только система авторизации OpenID, скорее всего древняя библиотека. Веб-фреймворк - Yii первой версии.

Предполагается авральный режим работы, т.к. хотфикс нужно выкатить в срочном режиме, это прод.
Подробности в личной переписке.