Как объяснить фирме, что их сайт содержит критическую уязвимость?

На одном крупном сайте нашел уязвимость, позволяющую анонимному пользователю разместить произвольный JS-код. На письмо об уязвимости мне ответили, что (цитата) «Опасность крайне незначительна.». Как объяснить сотруднику (видимо) отвечающему за сайт, что опасность значительна, и что JS-код выполняющийся на клиентской стороне позволяет практически всё что угодно?!