Hallo,

mail($recipient, $subject, $message);  

... $name und $email landen im Nachrichtentext. Für eine Header-Injection eignet sich nur der hier nicht genutzte vierte Parameter von mail().

nein, ebensogut der erste (hier $recipient), der in Phils Beispiel auch nur durch direktes Umkopieren aus $_GET['recipient'] gebildet wird. Folglich kann ich als Nutzer des Formulars sowohl den primären Empfänger frei bestimmen, als auch zusätzliche Header einflechten. Lass $_GET['recipient'] zum Beispiel den Wert
 "me@example.org,you@example.org\r\nspam1@other.@example.org,spam2@yetanother.example.org"
haben ...

Ciao,
 Martin