Es la base de lo que se conoce como XSS, roban tu cookie de sesión (la cookie llamada PHPSESSID) y con eso se pueden autentificar como si fueras tu.

Es por eso que es recomendable que las cookies que uses desde PHP tengan la cabecera de HTTPOnly, para evitar que puedan ser robadas usando XSS.