Eu acho que o termo "Injeção de SQL" está levando você a se perder aqui. O que eles estão realmente descrevendo é um ataque XSS (Cross-Site Scripting).
Você pode ler sobre essa vulnerabilidade específica aqui: link
Basicamente, http:///owa/?P=+ADwscript+ AD4alert(42)+ADw/ script+AD4
está em algum lugar retornando a entrada exata, totalmente não higienizada, em um documento que não especifica seu tipo de codificação.
Isso significa que esse código é realmente renderizado e analisado pelo seu navegador como <script>alert(42)</script>
, o que mostra um pop-up "42" quando carregado.
Esse script em particular não é muito desobediente, mas você pode fazer algumas coisas realmente maliciosas nas contas das pessoas se as redirecionar para essa URL em seu servidor. Como incorporar um arquivo JS desagradável do seu servidor que intercepta todas as entradas da página ou insere um vírus na página, etc.
No entanto, não consigo encontrar qualquer indicação de que o OWA tenha qualquer uma dessas vulnerabilidades, portanto, só posso presumir que seu servidor OWA esteja executando algo else com essa vulnerabilidade.
Acabei de tentar essa exploração em um servidor do Exchange 2010 que temos aqui e não faz nada. Se essa for uma máquina do SBS 2011, como suas tags parecem indicar, normalmente os sites de acesso remoto / owa serão executados somente na pasta /remote/
. Você tem outro aplicativo IIS padrão em execução na raiz do domínio?