Часто встречал описание уязвимостей функций move_uploaded_file() и copy(), основывающееся на url-encode.
В примерах используют нулл-байт для обхода фильтра расширения файла.

Вот на практике столкнулся с такой уязвимостью, которая была омрачена записью файлов в директорию, где .htaccess не позволяет запускать php.

Решение тут очевидное:

%2f..%2F..%2f.%2F..%2fexploit.php%00.jpg

Ну и очень удобно что функция работает с перезапись. Так что при наличии прав можно сразу перезаписать нужные файлы.