この問題は PHPに限らないのですが、mail() 関数で、From: などのメールヘッダを追加する場合、外部からの入力変数のチェックを行っていないと任意のメールヘッダを追加できてしまうという問題についての指摘です。
http://www.securityfocus.com/archive/107/407670/30/30/threaded
http://musingsofharry.blogspot.com/2005/08/email-header-injection-in-php.html

よく考えれば当然ですが、入力チェックを忘れやすい部分ですので気を付けた方が良さそうです。サンプルでは、bcc: を追加する方法が示されています。また、header() 関数でも同様の問題があることも指摘されています。