Básicamente esta vulnerabilidad consiste en lo siguiente: puedo enviar un mensaje privado a un usuario de facebook suplantando la identidad de otro. La verdad es que es realmente sencillo, creo un simple formulario web con los campos (remitente, destinatario y mensaje). Como facebook activó la cuenta de usuarios para recibir correos electrónicos usuario@facebook.com es el que uso como destinatario. El correo electrónico (Casi siempre visible en los perfiles) es el que utilizo como remitente. Y ese es el resultado