cuando en tu sistema (sea PHP, ASP, JSP u otro script del lado del server) tienes un formulario para upload de archivos o imágenes, generalmente debes de tener una carpeta con "permisos de escritura" para guardar los archivos subidos, si no validas el tipo de archivo imagínate que un hacker lo intente y en vez de enviar una foto, envía un archivo con código PHP (si tuvieses php), somo no validas el tipo, el script lo guarda en el directorio y si este directorio a su vez tiene acceso público web (dentro del document root), bueno, que simplemente inyectó código a tu sitio y puede ejecutar el archivo subido en tu sistema, leer archivos, robar código, etc.

como te darás cuanta es un agujero de seguridad que siempre es bueno prever