"волшебный параметр" sid=bts50b2394edeklrmckpvfli91

Это так называемый SessionID - некоторый ключик который обычно лежит в куках. Выдается на ограниченное время, получается через функцию генерации случайного числа. Т.е. угадать невозможно...

Если передали несуществующий ключ то сессия с таким ключом может быть создана (зависит от настроек сервера). В сессии на сервере хранится текущий пользователь...

Далее имеем такую карусель:
TC вставил ссылку со своей сессией
прошло N минут (таймаут сессии) и никто (ни TC никто другой не ходил по ссылке) - сессия "сдохла" и была убита на сервере
...
Пользователь A щелкнул по ссылке. На сервере создалась новая сессия c таким-же ключом, пароль пользователя взялся из cookie, сессия оказалась связана с пользователем A
Пользователь B щелкнул по ссылке. На сервере сессия еще жива и она связана с пользователем A. В результате пользователь B "вошел" в аккаунт A.
Пользователь С щелкнул по ссылке. На сервере сессия еще жива и она связана с пользователем A. В результате пользователь С "вошел" в аккаунт A.
...
некоторое время сессия была неактивна и сдохла и была убита на сервере
ну и по кругу: кто-то один (первый) связывает свой аккаун с сессией, потом пока она жива все последующие попадают в аккаунт этого "первого попаданца". сессия дохнет когда НИКТО (ни попаданец ни остальные) не взаимодействуют с сайтом N минут (полчаса например, зависит от настроек на сервере)

Надеюсь понятно объяснил эффект.