Non è possibile che un utente possa "riscrivere un'immagine caricata come file php" perché i file php sono riconosciuti dal suo .php che non termina con il suo contenuto.
Ma ci sono altri aspetti relativi al caricamento delle immagini che possono essere sfruttati. Visualizzare i metadati senza convalidarli, ad esempio, può essere un rischio per la sicurezza. Ciò consentirebbe potenzialmente a un utente malintenzionato di caricare un'immagine e inserire il codice analizzato dal lato client nel sito Web modificando i metadati.