En esta situación el tipo de archivo es lo de menos, el asunto más grave es que estén subiendo archivos a tu servidor desde otro.

Eso es muy sencillo, si vos tenés un form con un file y lo recibís en un archivo PHP y no realizás ningún tipo de chequeo de seguridad, entonces subir archivos a tu servidor desde cualquier lado no requiere de nada más que saber la URL a donde mandar el POST de otro formulario.

Me explico:

si yo veo que tu form postea a sarasa.php, entonces para hacer una prueba sencilla solo basta hacer un script cualquiera con algo así...

<form action="http://www.dominio.com/sarasa.php" method="post">

y listo, pensá que los forms pueden ser cross-server, asique envía el post desde un servidor al otro, y si en tu server no hay ningún tipo de chequeo de cual es el origen del post, entonces lo va a procesar como si se hubiera generado de forma local, en el propio servidor