Získaš tým to, že server ťa bude považovať za toho návštevníka, ktorý má taký identifikátor session. Ak si server pamätá v session, že ten návštevník bol prihlásený, tak budeš prihlásený pod jeho účtom. Potom záleží už len na tom, aké poskytuje účet napadnutého návštevníka možnosti.

Takže potom budeš môcť napr. vkladať príspevky pod cudzím menom alebo písať nové články. Keď na to prevádzkovateľ servera príde, tak to opraví a povie, že o nič nešlo.