Я понимаю, но страница, которая выводится после отправки формы, может содержать iframe, или же как я написал выше - содержимое скачанного файла.

Тогда все ясно. Скрипт просто обращается к странице url, скачивает ее, и выводит на экран. Это можно использовать максимум для XSS/CSRF атаки, но только при условии, что страница выведется как html документ, а не чистый текст.