Kommt auf die Lücke an und auf die Rechte der Anwendung.
Wenn der Angreifer Deine Anwendung übernimmt, hat er die Rechte, die man der Anwendung gibt. Was Deine Anwendung nicht darf, kann dann der Angreifer (direkt) auch nicht Nutzen. Das könnte er nur, wenn er die Lücke nutzen kann um über andere Lücken ( in System-Bestandteilen wie Dlls, Dienste usw.) höhere Rechte zu erlangen.