Ну представь? что CGI скрипт: это та же самая программа, но все, что она выводит на консоль копируется на экран пользователю браузера...
Ну предположим ты просиш ввести имя пользователя через CGI скрипт, а размер сообщения не контролируешь. В результате переполнения буфера в скрипте ты получаешь возможность прочесть некоторые данные в памяти. Далее коректно возвращаешься к процедуре самого скрипта, но указатель на сообщение об ошибке о неверном имени пользователя перебит на твой указатель, который содержит участок памяти который ты хочешь прочитать. В результате вместо сообщения об ошибке ты видишь то что ты сформировал своим шелкодом...

ВСЕ написанное строго: "НАПРИМЕР", и зависит от конкретных реализаций и подробностей :-)

Тему можно клоусед ... разобрался со всем ... спасибо desTiny