Hola,

Realmente si es posible, es un método muy común y siempre hay que tomar las medidas necesarias en cualquier tipo de archivo subido, ya sea este una imagen o cualquier otra cosa. El procedimiento es mucho mas simple de lo que explicas y no es necesario que el programador que hizo el sitio haya puesto de su parte para que suceda esto.

Existen por lo menos dos aplicaciones muy populares que sufrieron de este exploit, por suerte actualmente ya están corregidas. Ahora bien, por supuesto que pierden su funcionalidad, es decir, la imagen JPG deja de ser una imagen, pero eso pasa a segundo plano porque el objetivo no es demostrar nada, simplemente correr un script en tu servidor.

Saludos,