Поясни пожалуйста. Какая сигнатура может проверяться (желательно с реализацией хотя-бы приблизительной) и что ты посоветовал ему захексить?

Shadrin
Проверок при загрузке картинок не так много, основные это расширение, Content-Type, прогон через например getimagesize().

Если расширение грамотно проверяется через белый список, то грузятся только разрешённые, но можно прогрузить картинку под последующий LFI. Если идёт дополнительная проверка например getimagesize(), то всё-равно можно впихать код в метаданные.

А вот если, как сказал BlackSun, над картинкой начинают издеваться, (ресайз или какие-то другие преобразования при которых теряются метаданные) то это уже не обойти, и даже под LFI ты уже ничего не загрузишь.

Есть ещё куча вариантов, это основные, ну и надеюсь нам it's my сейчас объяснит, что он имел ввиду под "захексить", и как это помогает обходу.