この文章だけではわからないけど、
APOP自身の実装に問題があったのだろうか、それとも
MD5だろうか。
MD5に問題があるように読み取れるから、問題が広がらなければいいけど。
ハッシュ自体にはいつかは時間をかければ解析されてしまうという問題があるし、
MD5は弱いハッシュだからそろそろ新しいのに切り替えてくださいといわれていて、解析できちゃったということなのかな。
とりあえず、本人確認だけを暗号化している
APOPよりも、本文にも暗号化をかけているpop3sとかを使いましょう。
SSL 3.0なら鍵が安全かどうか確認すればまだ安全ですし。