o cookies, o sessiones ¿en donde más puedes almacenar el id para identificar el cliente?, es la única salida , eso si: NUNCA almacenes el resultado correcto en una cookie, solo en el servidor.

Zend Framework es sólo eso, un framework, y como tal puede traer un captcha prefabricado, pero lo más probable es que use sesiones