Was hat denn der User zu dem Zeitpunkt gemacht? Vielleicht wurde auch die URL mit PHPSESSID weitergegeben.

Kam aber auch schon mal vor, dass wenn man auf eine PN oder ein Supportticket geantwortet hat, nach dem Abschicken als der Empfänger der Nachricht eingeloggt war. Lag wohl an der register_globals Einstellung.

Am besten du versuchst mal den Fehler zu reproduzieren um genau festzustellen wann und wo das passiert, denn so ohne Details lassen sich da jetzt nur Vermutungen aufstellen.

MFG