PHP è un linguaggio di programmazione, HTML no! (è un linguaggio di markup).
L'unica possibilità che HTML sia vulnerabile è che la sua implementazione in un particolare browser lo sia... In passato è successo che con solo codice HTML un browser fosse vulnerabile (mi ricordo una pericolosa vulnerabilità di IE) ma questo non è colpa di una errata programmazione, è problema del browser.

In sostanza non esistono vulnerabilità per HTML proprio perchè NON è un linguaggio di programmazione.