estoy leyendome un manual de php

y he llegado a la parte de seguridad y me he encontrado con esto:

<form method="post" action="destino_del_ataque?username=badfoo&amp;pas sword=badfoo">
<input type="hidden" name="username" value="badfoo" />
<input type="hidden" name="password" value="badfoo" />
</form>


Significa que puedes acceder a variables que se pasen de una pagina a otra modificando el action ¿no?