Имя временного файла хранится как скрытое поле формы, что позволяет получить доступ к любому файлу на сервере.
vulners.com/securityvulns/securityvulns:doc:674