the last step of the validation process is where you can modify the email address and replace it with any regular email address (Highlighted in yellow) since it lacks a proper input validation.

Normalement on est limité à 3 emails (postmaster, hostmaster, webmaster) dont le domaine est celui à valider.
Il s'agit ici d'un hack tout con puisqu'il suffit de forger la requête http avec l'email de notre choix. Sauf que cela permet à n'importe qui de créer un certificat tls pour un domaine qu'on ne possède pas.

Ne jamais faire confiance aux données que les utilisateurs peuvent rentrer dans votre application: https://www.owasp.org/index.php/Don't_trust_user_input
C'est le b.a.-ba de la sécurité.