Seria cuestion de coger el codigo fuente de PHP e "investigar" el gestor de sesiones por defecto
Aunque yo imagino que si por casualidad crea una sesion nueva con un id igual a una caducada pero no eliminada, pues que simplemente pisara el fichero.
Pero seria muy mucha casualidad, teniendo en cuenta cuantas son 2^128. Puede pasar, igual que puede pasar que alguien encuentre 2 passwords que generen el mismo MD5.
Saludos.