Помимо предупреждений со смешанным содержимым (уже упоминавшихся @Dark Falcon), которых следует избегать, некоторые изображения JPEG могут содержать исполняемый код.
«Выполнение» изображений JPEG маловероятно, но зависит от клиента. Например, если клиент является самим сценарием PHP, в метаданные JPEG может быть вставлен код (эта уязвимость также отражает то, что не должно быть запрограммировано так же на стороне PHP).
По этой причине вы можете убедиться, что изображение, которое вы получаете, не было изменено и действительно исходит из источника, который вы намеревались. HTTPS помогает в этом, поскольку он обеспечивает целостность данных. Доверяете ли вы источнику, это другое дело, но вы будете знать, по крайней мере, что он не был подделан во время передачи.