il PHPSESSID non è nient'altro che un cookie. Non so darti i dettagli di implementazione (li trovi in qualche pagina che tratti il protocollo HTTP) comunque ogni volta che un browser si collega con un dominio dal quale ha ricevuto un cookie lo invia assieme alla richiesta GET/POST in qualche maniera.
Per il "come" devi necessariamente vedere le specifiche di HTTP. Se non trovi niente potresti vedere cosa succede con uno sniffer tipo ethereal facendo qualche prova con il browser.