Сайт ожидает, что name содержит обычный текст. Но если пользователь передаст вредоносный код test' OR 1='1 в параметре URL-адреса, такого как https://www.example.com?name=test' OR 1='1, БД выполнит следующий запрос:
$query = "SELECT * FROM users WHERE name = 'test' OR 1='1' ";
