Jo ták, takže problém je v tom, že jsem to trochu špatně pochopil - ta zranitelnost není o tom, že nahráním obrázku rovnou něco spustím, ale jen o tom, že na server dostanu nějaký nežádoucí kód, který ale ještě musím spustit nějakým jiným kanálem. (Nebo, jak je popsáno ve vašem odkazu, to někdo prožene funkcí „preg_replace“, která umožňuje spustit eval.) Děkuji za vysvětlení.