ぁー確かにちょっと古めに作られたものなのかも、でももしかしたらフレームワーク自体の脆弱性も突けるってことかも。

パッと見てわかると思いますが、内包しているバージョンが古いですね。中には5年以上前のバージョンも存在しており、AppGoatの元ネタになるような部分は大分前から作られていたということなのでしょうか。いずれにしても、セキュリティFixが以降いくつか出ているはず(具体的な内容は未調査で、手抜きですみません)なので、不用意に公開するようなことは避けたほうが良さそうです。
IPAではソフトウェアの脆弱性情報を自分で流しているぐらいですし、せめて直近半年ぐらいのバージョンを利用してもよさそうなのですが、何故なんでしょうか。

AppGoatをグループで共有してみた。 - piyolog