а теги <site-control permitted-cross-domain-policies="master-only"/> и <allow-http-request-headers-from domain="vk.com" headers="*"/> есть? crossdomain.xml в корне сервера лежит?
можно еще проверить контекст запросов. вернее подтюнить его:

Код AS3:
var context:LoaderContext = new LoaderContext();
context.securityDomain = SecurityDomain.currentDomain;
loader.load( new URLRequest('http://server.com/fetch_data.php'), context );