Realmente es posible este tipo de inyección de código PHP, pero no es tan grave porque... quién, en su sano juicio, hace include de imágenes?

La solución es: No confíes nunca en la información que suben los usuarios y, lógicamente, no hacer include de archivos obtenidos por formulario, sean jpg, php o cualquier otro.