Más bien el problema viene cuando no verificas y haces cosas como:
Eso hace que lo que envies por _GET se incluya, si tu pasas una URL a un archivo con código PHP al pasarlo por el include() este va a ejecutar todo el código PHP dentro y a nivel del servidor por lo que se crean esos problemas de seguridad.
Lo mejor es dejar allow_url_fopen en Off, safe_mode es una directiva no recomendada y que de hecho en PHP6 ya va a ser removida.
Saludos.