<input type=hidden name=foo value='$USEROUTPUT'>
この状態で、「'」をエスケープしていないというのは信じられないですね。以下、勝手に捕捉。
同様にしてstyle属性の追加をされてもhiddenな項目には効果がありません。
というのは担当者の我流であるがゆえの誤りでしょう。少なくとも IE であれば、以下の方法でスクリプトを発動させることができます。
IEでは、expression( 式 ) を記述することで、スタイルシート内であってもスクリプトを記述することが可能であり、スタイルと連動して(おそらくレンダリングの度に)スクリプトが発動しますので、hidden であってもスクリプトを作動させることが可能です。
<input type=hidden name=foo value='' style="xss:expression(alert(document.location))" id=''>
…上の例で、「'」をエスケープされてる場合でも XSS させる方法ってあるのかな。あぁ、ページがUS-ASCIIであれば、このあたりのトリックが利用できますね。