La inyeccion por subida de archivos se hace cuando permites subir archivos de cualquier extension, entonces lo que hacen es subirte un archivo .php y ahi es cuando estas jodido! En el caso de que sea esto, ve a la carpeta donde se alojan los archivos subidos y fijate si hay algun .php u otros sospechosos...