Отсутствие валидации является багом, а не "недочётом".
Если это еще приводит к ошибке - это серьезный баг. А если это приводит к падению программы, нарушению целостности данных или дает возможность обхода безопасности - это уже критичный баг.
А баг - это несоответствие поведения программы требованиям.
Теперь рассмотрим две ситуации:
1) Требований вообще не было.
Ни на словах, ни на бумаге. Решили сразу херачить код и начали. В таком случае вопрос "Как правильно назвать то, что мы продолбали валидацию" будет беспокоить в последнюю очередь - вам херачить надо.
2) Требования написаны (или обговорены) и там четко указано, что валидации не должно быть.
В таком случае - в реализации нет бага - работает же согласно требованиям.
Однако требования противоречат здравому смыслу (все входящие данные надо валидировать), так что это ошибка в требованиях и исправлять надо требования, ссылаясь на то какие проблемы может вызвать отсутствие валидации.
Простой
