a) При сохранении через блокнот е**ся кодировка. Поэтому при аплоаде валидатор не распознает файл как картинку. Самый верный вариант , как и было указано - посредством hex редактора. Хотя можно и воспользоваться тем же php к примеру (file_put_contents('imagefile','phpcode',FILE_APPE ND))

b) Уязвимость эта - некорректная конфигурация вебсервера NGINX+PHP-FPM в точке обработки статических файлов. При которой при обращении к file.gif/.php pathinfo в NGINX становится file.php и на PHP передается для обработки file.gif.

Вот собственно сабж:http://habrahabr.ru/post/100961/

c) К тому же работает далеко не везде даже где есть сама уязвимость. Ведь множество аплоадеров на сайтах в принудительном порядке ресайзят картинку и при этом трансформируются все вставки и как таковые перестают существовать в теле картинки.