Supongo que es bastante sencillo. A un usuario tú le muestras una web y es un "se mira pero no se toca". En el momento que le das un formulario con el que este usuario ingresa los datos a su antojo, ya está interactuando con el servidor. El riesgo aumenta si además de enviar datos le permites subir sus archivos. Con un poco de ingenio y mala intención, si no se controlan las posibilidades del usuario, puede provocar un desenlace no deseado por el administrador o webmaster.

Todas estas cosas se pueden controlar, podemos anteponer unos límites al usuario, y son esos límites de los que siempre advierten o advertimos en este foro.

En un formulario, por ejemplo, el usuario puede escribir libremente sobre los campos de texto. Pero estos contenidos, si nosotros no lo vigilamos, pueden no ser texto plano. Eso quiere decir que si el usuario escribe con códigos (HTML, PHP...) el servidor puede interpretarlos, en lugar de mostrarlo "como unas simples letras". Lo mismo pasa si en el momento de subir una imagen, subes un archivo .php o con comandos PHP, o de cualquier otro tipo. En lugar de ser una imagen normal y corriente, el servidor interpretará estos comandos que el usuario le ha dado.

Espero que te haya aclarado algo.