San Google dice que se puede incrustar codigo PHP en la seccion de comentarios de una imagen (mencionan solo gif en los diferentes sitios que revise) y este archivo puede pasar como imagen valida en getimagesize.

La unica forma de ejecutar ese codigo incrustado es que el archivo tenga extension .php, entonces el problema no es realmente de PHP o de las imagenes, sino de la mala validacion al subir archivos.

Practicas para evitar ese tipo de "exploit":
1- Verifica la extension del archivo
2- Verifica el tipo mime
3- Si la extension no correponde al tipo mime, renombra el archivo al moverlo y ponle la extension correcta, de esta manera no se ejecutara el codigo incrustado, a menos que tengas configurado PHP para interpretar esa extension como codigo
4- Nunca hagas include() a una imagen que pueda tener codigo malicioso

La mayor parte de estos exploits (sin la extension .php) se ha presentado en software open source con formularios mal validados y, ademas, el hacker debe tener acceso a la seccion administrativa para poder "ejecutar" la imagen.gif, supongo que modificando archivos criticos del sistema, donde puedan agregar la instruccion include()