Раз срабатывает, значит возможен пассивный XSS, и угон куков.
Суть уязвимости такова - поскольку скрипт срабатывает в домене самого чата, то этому скрипту будут доступны куки того, у кого этот скрипт срабатывает (например админа).
Использовать так:
под видом картинки заливается скрипт, отсылающий куки на сниффер(пример приведен в описании cgi-сниффера), плюс к этому - скрипт также должен отобразить рисунок (что бы админ ничего не заподозрил). А далее нужно каким-то образом заставить админа взглянуть на твою фотку. Это можно сделать кучей способов. Начиная от тупого кидания линка в приват, и заканчивая заманиванием админа на свой сайт, где этот линк откроется в скрытом фрейме.

(только предварительно выясни есть ли что то полезное в куках вообще)))