Eine Spamschleuder baut man, indem man die Möglichkeit schafft, dass der Anwender beliebige Headerzeilen oder anderweitig beliebige Empfänger angeben und möglichst noch eine selbstverfasste Nachricht eingeben kann. Letzteres zum Beispiel bei einem simplen Kontaktformular.

Das ist nur die unmittelbare Sicht. Indirekt wird der Webserver auch zur Spamschleuder

• wenn man eine Möglichkeit für einen nicht vorgesehenen Dateiuplaod (z.B. einer Webshell) schafft,
• oder wenn man die Möglichkeit einer nicht vorgesehenen Rechtemanipulation als Voraussetzung weiteren Vorgehens schafft,
• oder, oder, oder...

Es kommt dann nur noch auf die Nutzungsart an.