são bons argumentos, especialmente no que toca à não validação do parâmetro url. É muito fácil fazer um ataque à maquina com o script acima.
Quando tiver tempo, a ver se implemento algum workaround. Entretanto, alguma sugestão?

Relativamente ao script em si e fazendo uma análise superficial, atenção:
- Receber o nome do ficheiro da imagem sem qualquer verificação é má ideia! Pois alguém pode servir-se do teu script para gerar os próprios swf ou algo pior …

- Não vejo motivação para receber os parâmetros apenas por _GET.

- Esse sistema de cache que implementaste não acaba por deixar “lixo”? Penso que deverias comparar as datas de modificação dos ficheiros originais.