Bueno no pero si, o si pero no. Al final la foto es una entrada de datos de un programa. Si el programa, navegador, visor de imagenes, etc.. tiene un fallo de ejecución de código aleatorio entonces para la gente que visualice el contenido de tu web, contenido, fichero generado específicamente para que use dicho error permitirá que se ejecute el código que le asignes.
Un ejemplo muy sencillo es el que vimos hace poco en la librería imagemagick para el tipo de archivos .SVG:
https://blog.sucuri.net/2016/05/imagemagick-remote-command-execution-vulnerability.htmlhttp://blog.trendmicro.com/trendlabs-security-intelligence/imagemagick-vulnerability-allows-remote-code-execution-now-patched/Este error era muy guai porque era muy muy fácil de explotar y probar, se podía probar con la aplicación display de linea de comando. Generabas el svg le metías el código que querías en el error de parseo y usabas convert teniendo como entrada la imagen y listo.
Como ves, aquí no es que uses una norma general, no es un error general de las imágenes si no de los programas concretos que se utilizan a la hora de leer las imágenes (o datos, o lo que sea, como en cualquier otro programa). Explotarlos puede ser tan fácil como en este error concreto, o muy difíciles en otros casos, depende del error.
Creo que he puesto en un lenguaje suficientemente sencillo para que cualquiera lo entienda, si no es así, pues preguntas de nuevo.
Saludos.