Чтобы загружать файлы через формы в обязательном порядке должно стоять enctype='multipart/form-data'. Если его не указать, файл не зальется, а передастся лишь только путь к файлу.

Это видимо создатель не знал, но я добавил и теперь при отправке формы изображение или скрипт должно загружаться, но куда?

Туда, куда указывает action формы. А там на обработчике если предусмотрена обработка входящего файла, тогда он будет обрабатываться. Если не предусмотрена, то не будет соответственно. Просто файл не будет сохранен на сервере. Точнее он попадет во временную директорию и затем будет удален. То есть то де самое, если на любой скрипт направить файл, а там не предусмотрены операции с входящим файлом, ничего не будет. Другое дело, если обработка файла есть, и если она дырявая, то можно залить много чего хорошего, вплодь до шелла.