Hola:

Es que en javascript (el foro donde nos encontramos), una validación captcha suele hacerse básicamente controlando que el campo no esté vacío, porque para saber que es correcto normalmente se hace en el servidor. Por ejemplo:

$correcto = $_POST["captcha"] == $_SESSION["captcha"];

Tal como se puede deducir, se acostumbra a tener una variable de sesión con el valor que genera la imagen... pero insisto que esos datos suelen estar en el servidor, de otra forma pienso que sería vulnerable.

Saludos