Interessante, então o usuário se quiser, ele pode acabar travando o servidor mandando várias requisições burlando o regex?
Não exatamente, como o Regex não possui limite de caracteres o invasor pode mandar uma string grande ou apenas uma pequena string com o último caracter inválido, desse modo o sistema irá travar por causa da quantidade de caminhos que ele pode fazer para chegar na correspondência final