чет я нефига не понял! че ета ссылка делает! я ее тестил на форуме одного знакомого который придурок и юзает 2.0.8! при чем все известные дыры в нем канают до сих пор! а вот эта! ну хз! в u же по идее передается номер пользователя в БД!
по идее никакой XSS здесь не должно быть! скрипт просто получает скажем u=5 и находит и выводит пользователя номер в БД которого 5! сама u нигде не выводится ! здесь мош можно попробовать в u передать SQL уязвимоть , но мне щас некогда !