PHP nema bugy, ale features. Utok funguje tak, jak byl popsan pred mnoha lety: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/hiding-webshell-backdoor-code-in-image-files/
Ted k tomu scriptkiddies pouze pridali dalsi stage. Princip je porad stejny - nekam nemuzete neco dostat (typicky sdileny web service), ale maji tam whitelisting neceho (treba obrazku), tak problematickou vec schovate (via steganografii) prozenete ji whitelistovanym kanalem, a pak si ji vyzvednete a pouzijete. Neni to zadny silver bullet, treba na Ministerstvo zahranici CR by to tak snadno nefungovalo, tam byste musel vyuzit jiny trik.