Это не очередная дыра в Facebook, а применение социальной инженерии для достижения цели. Окно валидации сделано аккуратно и в стиле Facebook, посетитель думает, что это новый способ защиты от ботов и старательно выполняет, что от него требуется.

При проверке клавиатурой сам код присутствует в виде текста, и пользователь сам его запускает через адресную строку браузера. Если посетитель задумался или переключил фокус, то скрипт выводит окошко с подсказкой и предлагает начать заново.
http://habrahabr.ru/blogs/infosecurity/108553/#habracut