Yep... no puedes fiarte de la extención. Simplemente:
- archivo.exe.jpg << sería válido
- ejecutable.jpg << sería válido (donde el código corresponde a un ejecutable)

Lo he dicho mucho últimamente... jejeje .

Lo que debes hacer es validar por el valor obtenido de $_FILES['el_archivo']['type'], osease, por el MIME-TYPE. En la FAQ que dejé se menciona eso ... Como sea, el MIME-TYPE se obtiene directamente del código fuente por lo que la validación es segura.

Y no son correciones , son comentarios, que no es lo mismo .

Paz!
PD: Estoy probando Flock desde recién un par de minutos jejeje...