Атакующий задает жертве известный session id (через ссылку и т.д.). После входа жертвы атакующий использует тот же id. Защита: регенерация session id после логина (session_regenerate_id); не принимать id из URL.