Recuerdo haber visto un exploit para una función de carga de imágenes, que consistía en ocultar el código php malicioso dentro de una imagen tiff.

Estoy creando mi propio script de carga de imágenes, y supongo que tendré que protegerme de esta posibilidad. Excepto que no tengo idea de cómo funcionaría. ¿Alguien sabe cómo se ejecutaría un shell php oculto dentro de una imagen? ¿Tendría que cargarse de cierta manera?

Gracias