根据 @cwyalpha 的回复，现在能构造出控制内网 /公网机器跳转到指定快应用的链接了
可以设置 __PROMPT__的值决定是直接跳转还是弹窗确认是否跳转，如果 __PROMPT__=0，那么无需用户确认，自动跳转到指定的快应用。
此外该链接可以通过本机访问目标网站触发或者攻击者远程触发。

攻击者远程触发：
http://ip:55555/?i=com.meituan.waimai.quickapp&__PROMPT__=1&__NAME__=ttteeesssttt # 有弹窗，启动美团外卖

http://ip:55555/?i=com.meituan.waimai.quickapp&__PROMPT__=0&__NAME__=ttteeesssttt # 无弹窗，直接启动美团外卖


水坑攻击：在某个网页添加能发起请求的代码，如添加 <img>，
<img src="http://127.0.0.1:55555/?i=com.meituan.waimai.quickapp&__PROMPT__=0&__NAME__=tttesttt">

受害者访问此页面后可以直接跳转到美团外卖（此请求其实是设计者预设的合法请求，但是可能被水坑攻击利用）

说到底，其实这是 quickapp 的 feature，通过 http 请求唤醒应用，这里监听了所有端口导致了问题的严重放大，被映射到公网，导致了问题的更严重的放大，致使了这个 feature 可能被攻击者远程利用，通过内网 /公网的一次 GET 请求启动目标手机的应用。

暂未确认是 UPNP 导致的端口被映射到公网，还是其他途径映射到公网的，fofa 搜索指纹能找到 7 万台设备，zoomeye 搜索指纹能找到 20 万台设备。两个厂商扫描的周期不同以及可能存在历史数据，个人推测公网受害者大约在 10 万台这一量级。
对于没有映射到公网的设备，数量可能是映射到了公网的设备的千倍。根据 https://finance.sina.com.cn/tech/2021-05-01/doc-ikmxzfmk9958014.shtml 的内容，在大内网的地方，比如企业内网、校园网，漏洞触发可能更容易。


根据楼上各位大佬分析到的结果，这应该已经能算是一个有一定危险性的漏洞了，推测 CVSS 评分 5-6，可能的攻击场景是远程启动受害者应用或者反复请求恶意 URL 导致拒绝服务攻击。但是更严重的利用，比如注册一个恶意的快应用，然后通过此触发方式在受害者手机上启动该快应用，进一步实现权限提升，可能是可以实现的，但存在一定难度。

锅不能全扔给 vivo，快应用也得背一点，可能不只是 vivo 存在这个问题，其他品牌支持快应用的手机可能也有类似的问题 :)

至于如何解决 55555 仍在开放，目前为止该漏洞仍然可以被恶意利用这个问题，暂时只能在路由器里面关 upnp，adb 卸载某些包（哪些我也不知道）。关 UPNP 只能防御来自 NAT 之外的攻击，不能抵御内网里的攻击，所以，等 vivo 的 OTA 更新吧 （推测他们会处理这个问题叭）

至于楼主的存在较大的带宽占用这个问题，目前似乎没有更多的信息了，个人推测快应用可能和 HCDN 没有关系。

另：
蹲一蹲楼上各位大佬写的分析过程 :)