Pues simplemente así .. colapsaran tu servidor .. a lo -peor- bloquean tu servidor SMTP (el que use tu servidor vía PHP) .. Todo esto con el objetivo de "joder".

Por ende, hay que validar (como ya te han comentado) toda variable que provega de tus formularios .. y si usas tu script para generar un e-mail desde donde indique el usuairo (en el formulario) .. también valida que tu script de proceso (el que genera el e-mail) se usa desde tus formularios de tu sitio y no de otro .. También revisa como terminas el script de proceso . .por qué si terminas con un "ya se envió tu e-mail" en el mismo script de proceso (de generación y envio del e-mail) van a recargar tu página y originar tantos envios como se canse el usuario de racargar la página.

Un saludo,