Wahrscheinlich war eher gemeint dass jedes Skript-Kid das Passwort aus der .exe zu extrahieren kann wenn man sich eine FtpClient1-Komponente auf sein Formular zieht und da das Passwort fest einträgt.

Die DFM-Dateien von Formularen & Datenmodulen sind im Klartext aus der .exe extrahierbar, und da stecken halt nicht nur Eigenschaften wie Caption oder OnClick drin, sondern alles, was man so im Formular-Designer eingetragen hat.