Apuesto a que hay un pequeño fragmento de código oculto en algún lugar que se encarga de desenfocar la carga útil real de la imagen y luego ejecutarla; que permite a los atacantes tener una pieza muy pequeña de malware que pueden ocultar fácilmente en algún lugar en un archivo PHP por lo demás no ofensivo, al tiempo que mantienen el malware grande y no tan astuto en una imagen que le permite pasar desapercibido la mayor parte del tiempo, a menos que alguien sepa qué buscar.
Para la parte de "cómo usar", encuentre una manera de incrustar el código PHP en una imagen (puede ser tan simple como un archivo PHP que se renombra a .png a algo más astuto como la esteganografía que no se notará solo por mirando la imagen mostrada), luego cree un pequeño fragmento de código que se encargue de desenfocar su carga útil real y luego ejecutarlo.
También he leído en alguna parte que los servidores web mal configurados pueden servir archivos de imagen como texto, lo que resulta en un gran desorden de caracteres Unicode cuando se visualizan en un navegador, pero lo interesante es que el código PHP en estas "imágenes" obtendrá ejecutado.