Изменив куки можно получить доступ под UID другого пользователя.
vulners.com/securityvulns/securityvulns:doc:2356