Можно переполнить память отведенную для жранения поля комментария JPEG-файла указав некорректную длину заголовка.
vulners.com/securityvulns/securityvulns:doc:477