> Случайно дать возможность исполнять произвольный код by design нереально)

Просто многие вещи, особенно старые, не создавались с security in mind. Ну вон в WMF вообще можно было принести машинный код. Фича это такая была. И те кто честно следовал спекам на формат (в основном сам MS) очень сильно радовались, когда хакерье накопало давно всеми забытую фичу и начало раздавать правильные файлы везде и всюду, например, в вебе. Где браузер чего доброго это попытается показать (и выполнит обработчик) вообще не спрашивая юзера про всякие глупости.

Это же и unix way частично касается. Вызывать кучу программ из скриптов и перекидываться между ними данными - это круто и гибко. Но вот устойчивость этого процесса к враждебно настроенному источнику данных - весьма паршивая, например. Там довольно много чего может пойти не так.

> imagemagic всего лишь звено в этой цепочке. Генератор превьюх ведь не запускает
> GS сам -- он передаёт управление imagemagic.

Вот это - совершенно не обязательно. И так огульно за все генераторы превьюх расписываться как они кого вызывают - форменное донкихотство. И вообще см. выше, тех кто GS пользуется я 4 страницы насчитал. Я бы не рискнул утверждать что они все imagemagic зовут. А вот GS они точно зовут, раз он в зависимостях есть.