Объясняю:
При встраивании приложения на страницу, в целях безопасности в него передаются параметры "allowscriptaccess" и "allownetworking", которые вконтакте стоят на falsе. Первый параметр запрещает флешке получать доступ к яваскрипту на странице, а второй -- переходить по ссылками и открывать новые окна. Так вот когда ставится allowsciptaccess на true, через класс flash.net.External получаются переменные из ява кода, одной из них является хэш, необходимый для отправки приглашений друзьям и добавления на страницу. Дальше все просто -- генерируется запрос из флешки уже с вытянутым хэшем. Ну и куки, наверное, тоже отправляются.