Баг заключается в том, что движок считывает сначала заголовок "X-Forwarded-For", и если он не пустой, то он определяет значение как реальный IP адрес, и указывает его в сообщении. (мембер может видеть свои IP адреса своих сообщений)

Но кроме как подделать IP адрес на любой более ничего нельзя, если вписать произвольные символы, то вместо IP будет "unknown". Так-же обойти фильтр хитростями типа 111.222.333.4lol тоже нельзя, будет IP: 111.222.333.4 и т.д... исходный код функции не смотрел, но ясно что регулярка по IP адресам.

Обнаружил баг случайно на одном форуме, баг довольно забавный, и я бы сказал полезный.
Тестировал на SMF 1.1.11, другие версии не пробовал.