se l'unico punto di accesso è il form, allora, a parte potenziali bug del server, è lui il primo ad essere sospettato.
Ma hai dato a disposizione poche notizie infatti sarebbe di grande aiuto conoscere la struttura del sito, se è un cms, se è uno script scaricato da qualche parte, versione del php, tipo di query (se esistono) utilizzate, se ha un template personalizzabile via backend, ecc ecc.

Il bug purtroppo può insediarsi ovunque.