Hikiに任意のファイルを削除できる脆弱性が存在するそうです。セッションIDのチェックが不十分だったそうです。

-        if /[0-9a-f]{16}/ =~ session_id
+        if /\A[0-9a-f]{16}\z/ =~ session_id

関連URL

• JVN#05187780: Hiki において任意のファイルが削除可能な脆弱性