Scommetto che c'è un piccolo pezzo di codice nascosto da qualche parte che si occupa di deoffuscare il vero carico utile dall'immagine e poi eseguirlo; che permette agli aggressori di avere un piccolissimo malware che possono facilmente nascondersi da qualche parte in un file PHP altrimenti non dispendioso, mantenendo il malware grande e non così subdolo in un'immagine che gli permette di passare inosservato il più delle volte, a meno che qualcuno non sappia cosa cercare.
Per la parte "how to use", trova un modo per incorporare il codice PHP in un'immagine (potrebbe essere semplice come un file PHP rinominato in .png in qualcosa di più subdolo come la steganografia che non sarà visibile solo guardando l'immagine visualizzata), quindi crea un pezzetto di codice che si occupa di deoffuscare il tuo payload effettivo e quindi di eseguirlo.
Ho anche letto da qualche parte che i web server configurati male possono servire file di immagine come testo, il che comporta un grande casino di caratteri Unicode quando visualizzati in un browser, ma ciò che è interessante è che il codice PHP in queste "immagini" otterrà eseguito.