Du kan se
php exempel här på hur injektionen kan gå till.
För att beskriva det lite kort i tråden: Meddelandet är inte tomt, det innehåller en avgränsare som ser till att du får den tomma början på meddelandet, det egentliga innehållet skickas till en annan adress.
D.v.s SPAM som ej kan spåras tillbaka till boten.
Därför skickas brevet fast du använder nån slags skyds-sats för att förhindra tomma email.