A responsabilidade pertence a quem já é responsável por manter o script PHP vulnerável. Se for o seu site, encontre e corrija imediatamente. O problema é que esse tipo de vulnerabilidade existe, não que alguém em algum outro lugar esteja usando isso!
Se não for o seu site, você pode fazer um relatório de abuso: a empresa de hospedagem deve informar o usuário sobre o problema.
Se o usuário não é afiliado à sua empresa e está apenas usando o endereço, você deve implantar o SPF para dizer ao mundo que essas mensagens não são de você. Se você usa o Gmail apenas para o seu e-mail, você pode, por exemplo,
-
Permitir apenas o Gmail:
@ TXT "v=spf1 include:_spf.google.com -all"
-
Permitir o Gmail, não permitir este servidor (exemplo de endereço), softfail para descanso:
@ TXT "v=spf1 include:_spf.google.com -ip4:198.51.100.0 ~all"