Ясно, что это не решает проблему при предоставлении доступа к админке третьим лицам. По-хорошему, параметры настройки apache нужно переносить из .htaccess в главный конфигурационный файл. Либо, в крайнем случае, создавать несколько подпапок в _pictures вручную, и выставлять права 777 только подпапкам.

На демо-сайте не apache, а nginx, и там работает только расширение .php (кроме папки _pictures).

Но, существует еще одно расширение файла, распознаваемое как скрипт современными версиями PHP 5.x - php5. Такие файлы успешно загружаются через админпанель и выполняются. Этот факт ставит под угрозу безопасность сервера :).

Также, есть возможность просто переименовать файл .htaccess встроенными средствами скрипта, тем самым сняв все ограничения.

(В демоверсии данную проблему воспроизвести не получается из-за ограничения исполнения на уровне сервера.)