Неверно что? Расскажи, я с удовольствием почитаю.

Неверное что скрипт не исполнится. исполняется как миленький. Конечно если не посылать Content-Type, а в статье кстати расказывается о добавлении кода в конец файла и Content-Type тут уже не спасает, т.к. картинка корректная, а все остальное браузер считает другим контентом. А если еще закодировать UTF-7 то там и проверки не спасут. кстати тоже распространенная XSS через UTF-7