Я пишу вредный скрипт, сохраняю его в файле, скажем, ls и делаю его исполняемым. Даю это файл вам, или вы его скачиваете и т.п. В консоли заходите в папку с этим скриптом (допустим, там много файлов, а мой вредный - один из них). Логично, что первое, что вы захотите сделать, зайдя в новый каталог, так это запустить команду ls. А так как путь ./ прописан в $PATH, то мой вредный скрипт и запустится.
Может быть сейчас уже как-то это решили, но раньше было так.