Mein Artikel hierzu ist praktisch das, was ich hier schon einmal ins Forum gepostet habe.
Es ist von mir getestet, das Problem ist also nachvollziehbar: Hier leckts ;)

RewriteRule ^(.*).html /index.php?page=$1 [QSA,L]
Mit Kenntnis der RewriteRule lässt sich das Passwort umgehen, der Eindringling ruft folgende URL's im Browser auf:
http://example.com/user.html?page=admin

Wo ist bei Kenntnis der RewriteRule hier der sicherheitsrelevante Unterschied zu Perl?
http://example.com/cgi-bin/index.pl?page=admin

Du hast eine Sicherheitslücke, wenn Dein Mechanismus auf einem erwarteten Auflösungsmechanismus beruht.