Проверка на то, существует ли емейл на самом деле - штука почти невозможная. Описанный баг может компенсироваться, например, ограниченным сроком жизни "неподтверждённого" аккаунта в базе. Ограниченным сроком жизни для неиспользуемых аккаунтов. И\или капчей, чтобы создание достаточно большого количества записей было затруднительным.
Из описания, кстати, непонятно - можно иметь активный аккаунт на pew@pew.pew или просто создать запись в базе о попытке регистрации с такого ящика (неподтверждённая регистрация)?
Ожидаемый результат, кстати, какой?
Дело в том, что этот баг как раз и создает подтвержденную запись в БД, только при этом пропуская сам шаг подтверждения.
Ожидаемый результат: Пользователь не может залогиниться на сайт, пока не перейдет по ссылке из письма.
Фактический результат: Пользователь не подтверждает регистрацию, и при этом может логиниться, при этом в БД создается полностью валидная, подтвержденная запись. Т.е. pew@pew.pew может иметь активный аккаунт.