E' un controllo generico.
Semplicemente ti stanno dicendo che c'è un API esposta, Alla rete o a internet.
Quindi qualcuno potrebbe accederci e usarla e magari sfruttarne un bug.

Quello che ti chiedono in sostanza è di rendere privata l'API se è possibile, in modo che solo i programmi che possono accederci ne abbiano accesso, modificando i permessi in base a ip o dominio ad esempio.