Нашел у себя на сайте необычную xss, в форму достаточно вставить скрипт с алертом и он срабатывает, также можно подтянуть js и тд, как в обычной xss. Разница только в том что форма ничего не отправляет на сервер , скрипт срабатывает и так, как бы в самом браузере. Смотрел через шарлиз, сурс браузера форма не отправляет ничего 100% . Как ее мог бы использовать злоумишленник ?

Если данную форму невозможно заполнить автоматически через GET или POST запрос, то никак (только заставив пользователя самим вбить JS в форму).

Интересный кейс. Значит я предполагаю, что при сабмите формы обработчик перехватывается JavaScript'ом и выполняется какой-нибудь eval или appendHtml. Можно взглянуть на таргет?