Teoricamente, algumas ferramentas para descompactar arquivos zip podem ter vulnerabilidades que podem levar a alguma execução de código. No entanto, é realmente improvável que seja o seu caso. Ferramentas descompactadoras para sua linguagem de programação provavelmente não têm essas vulnerabilidades e, se o servidor da Web estiver executando um sistema operacional semelhante ao UNIX (por exemplo, Linux), os vírus do Windows não serão executados de qualquer maneira.
Mas você também deve verificar cada caminho de arquivo ao extrair arquivos de um arquivo zip, pois ele pode ser um caminho absoluto ou um arquivo com componentes .. (dois pontos), se a biblioteca descompactadora não verificar isso por padrão ( por exemplo, o módulo zipfile do Python não foi até que o Python 2.7.4 fosse lançado. Caso contrário, os arquivos podem ser extraídos para um local diferente no disco.