Ага. Но уязвимость была давно найдена, очень давно, в функции mail, позволяющая менять заголовки отсылаемых данных. Соотвественно можно было отослать, подменив данные, сразу 255 людям )