L'utente ignaro arriva su questa pagina, e clikka casualmente un link qualsisasi della pagina: Link apparentemente innoquo!
A sua insaputa il link fa riferimento ad una risorsa che richiede necessariamente una sessione stabilita (e lui risulta attualmente loggato).

In questo caso, l'attacco parte quando l'utente fa click sul link apparentemente innoquo.
Ma lo scenario può essere migliorato, facendo in modo che il link venga caricato già quando si apre questa pagina.
Ad esempio includendo il percorso: pca-function.php?del direttamente nell'src del tag html img.
Ancora.. per operazioni più complesse, quali invio di dati in POST, si può utilizzare AJAX.