Старая бага. Если апач не "знает" расширения файла, то он пытается найти следующее расширение и трактовать уже его. Соответственно, процесс продолжается до тех пор, пока те не закончатся или не будет найдено хорошее.
Пример. Предположим, залили на сервер файл test.php.li, и пытаемся к нему обратится по прямой ссылке somesite.com/upload/test.php.li, расширение .li не зарегистрировано как верное (грубо говоря, сервер не знает, отдавать его с каким-нибудь типом, вроде application/some-type или просто исполнять), поэтому, сервер отбрасывает первое расширение и пытается трактовать второе (.php). Этот тип файлов успешно распознаётся и выполняется сервером.
Многие upload-центры блокируют вторичные расширения, ещё один хороший способ - отключать исполнение файлов в этой папке.