Te explico por qué no es seguro, supongamos que yo cambio el value de uno de las opciones del select (con Firebug, GreaseMonkey, o lo que sea) y pusiera: http://www.midominio.com/miscript.txt y dentro de ello:
El código se ejecutaría (claro, dependiendo de la configuración del servidor), por lo que podría ejecutar cualquier código PHP para borrar archivos, modificarlos, obtener datos sensibles del sistema, etc.