ASP injection

Наверное многие слышали, что невозможно вставить динамически ASP код, т.е. в ASP скриптах атаки типа PHP injection невозможны. Однако (чисто случайно, без злого умысла) заметил у одного сайта с очень высокой посещаемостью возможность динамической вставки ASP кода такой конструкцией  (через URL параметр!)
<script language=vbscript runat=server>  
Response.Write "this site is hacked"  
</script>
И такое работает! Когда убераю 'runat=server' то получается обычный XSS.

Я не спец по ASP, но какой код должен быть чтобы такая фигня стала возможной?