При показе вложенного файла имя файла обрезается, подобрав длину имени можно заставить файл появиться с безобидной картинкой, при запуске не будет выдано предупреждение.
vulners.com/securityvulns/securityvulns:doc:1459