Tutto può succedere e ciò che accade esattamente dipende dal codice lato server dell'applicazione web. Alcuni credono nelle estensioni, alcuni credono nel contenuto, alcuni possono essere ingannati con attacchi polyglot, ... Quindi nel migliore dei casi non succede nulla o si verifica un errore perché il contenuto non è permesso e nel peggiore dei casi è possibile eseguire il codice sul server.
Se fatto correttamente, qualsiasi dato generato dall'utente dovrebbe essere considerato un possibile attacco da parte del server e quindi gestito con molta cura. Ma in pratica i server possono spesso essere sfruttati perché si fidano troppo dei dati generati dagli utenti. Questo include ma non è limitato a fidarsi dell'estensione del file. Esempio corrente: fidati di un caricamento dell'immagine (imagetragick) .