Úgy látom, ezt jobban kellett volna megfogalmaznom.

Tehát: minden jelszókezelőben van lehetőség arra, hogy URL-t csatolj a felhasználónév+jelszó pároshoz. Ha ez az URL password reset link, ami valid, a támadónak semmi mást nem kell tennie, mint meglátogatni ezt az URL-t. Így anélkül veszi át a kontrollt az adott website-hoz tartozó user account felett, hogy fel kellett volna törnie a vault mesterjelszót.