le informazioni sono, di base, quelle dell'array $_FILES

l'array resta in memoria fino alla fine dell'esecuzione della pagina

il file caricato resta nella cartella temporanea settata nel php.ini (di default dovrebbe essere /tmp) a meno che non lo sposti con move_uploaded_file da un'altra parte

per fare qualche magagna dovresti sfruttare le risorse caricate in maniera errata, che ne so, "eseguendole" come se fossero script/programmi. Se per esempio ti aspetti che sia un'immagine, intanto controlli che l'estensione e il mime type (usando altre funzioni apposite) siano compatibili con un formato image, e quindi salvi. E poi li visualizzi solo come immagini. Certo se c'è scritto "carica il tuo file personalizzato php" magari li puoi avere seri problemi di sicurezza se dopo vuoi eseguire quello script