Genau das vermute ich auch. Ich habe gerade mal testweise den Anmeldevorgang durchgespielt.
An dessen Ende findet man ...
Wenn nun vor Schließen der Lücke auch der Abruf der URL ohne oder mit falscher e-Mail-Adresse erfolgreich war - also z.B. so etwas wie
https://sedo.de/member/accountactivation.php?linkurl=/member/index.php3&reason=X&mid=1234567&userlanguage=20&tracked=0&partnerid=0&language=de
... dann konnte der Angreifer einfach durch bloßes durchiterieren der mid über die html-Antwort die zugehörigen e-Mail-Adressen auslesen. Gleichzeitig wurde dadurch der (erneute) Versand der Aktivierungs-e-Mail ausgelöst.
/Fehlerszenario