Красивая была уязвимость в телеге (уже почти год назад).
Сочетание факторов - попытка использовать блеклисты “плохих” расширений, в который вносили всю экзотику, включая .pyzw (который по ошибке напечатали как .pywz, переставили буквы).
При этом телеграм определяет тип файла по методу - если мы отправляем как картинку - то телега считает, что это картинка. Если как видео - то видео. А дальше, похоже, при нажатии - он запускает стандартный метод открытия файла. Для картинки - ваш просмотрщик, для видео - ваш видеоплеер. (давно на винде не был, не могу проверить)
А для exe или pyzw этот метод - запуск файла: When Python for Windows is installed, it will associate the .pyzw file extension with the Python executable, causing Python to execute the scripts automatically when the file is double-clicked. The .pyzw extension is for Python zipapps, which are self-contained Python programs contained within ZIP archives.
Но есть еще тонкость. Все-таки телеграм не настолько наивный. Он проверяет mime-type. Так как же сделать пайтоновский скрипт таким, чтобы по mime-type он был картинкой? А все просто.
$ cat g.py
GIF89A = "test"
import os
os.system("calc")
$ file g.py
g.py: GIF image data 15648 x 8736
Красота!
исправлена была в этом коммите: https://github.com/telegramdesktop/tdesktop/pull/27737
