Popis naznačuje, že celý problém spočívá v tom, že vlastníkem zkopírovaného souboru se stane uživatel, pod kterým běží webový server. Pokud jste měl na mysli nějaký jiný útok, tak to není patrné a popis je zavádějící.
Myslíte chybu opravenou před dvěma roky (PHP bug #38963)? Stále mi zůstává záhadou, proč jste si vybral zrovna tuto funkci, když funkcí náchylných k obejití open_basedir byla celá řada.
Napsal jste, že "PHP považuje za obrázek i soubor s příponou .jfif" (to je omyl). Když jsem oponoval, že funkce getimagesize() s názvem souboru vůbec nepracuje, opáčil jste, že pracuje s MIME typem (to je druhý omyl). Kde ten MIME typ podle vás vezme? Nechcete se raději podívat do toho zdrojáku?