@Card - система/скрипт посылки виртуальных открыток. Из-за отсутствия проверки переменной 'pic' атакующий
имеет возможность удалённо исполнить любой код в браузере
клиента заменив или добавив к используемой открытке код с закрытием
кавычки в начале.
Пример:
http://www.vulnerable.url/cgi-bin/ecards/upcardme.cgi?step=1&pic=Spider_Man/
2733369507.jpg><script>alert("eraser%20was%20here%20:)")</script> &lang=english.pm
