Как я уже говорил в другом месте, это огромный риск безопасности , как будто вы позволяете людям вводить свой собственный код PHP и выполнять его на вашем сервере, тогда он, очевидно, может сделать все, чтонативный сценарий может.
ОК, вот несколько примеров того, почему это очень плохая идея.
Скрипт, который использует proc_open с циклом for для открытия «n» сотен процессов на вашем сервере.Ваш сервер останавливается.
Скрипт, который захватывает каталог высокого уровня и пытается рекурсивно удалить все, что он может найти.(Маловероятно, что это может причинить слишком много вреда, если у вас нет каких-либо нечетных прав на каталоги, а PHP работает как «никто / никто» или аналогичный.)
Скрипт, который выполняет DROP DATABASE на всехбазы данных, к которым он имеет доступ.(Если у вас есть какие-либо определения, объекты доступа к базе данных или глобальные переменные с информацией о БД, это честная игра.)
...