Las funciones tipo exec() y system() no suponen ningún riesgo de seguridad siempre y cuando no incluyas en ellos código enviado por usuarios.

Es decir, asÃ_ serÃ_a seguro:

system("rm -fR midirectorio");

Por otro lado, antes de usarlo de la siguiente forma se recomienda estar muy seguro de lo que se hace:

system("rm -fR $directorio");

Ya que la variable $directorio podrÃ_a contener cualquier cosa. Aunque esto ocurre con cualquier código/función, no solo con los exec(), system(), etc.

Por otro lado, el usuario que ejecuta el servidor web tampoco suele tener (o no deberÃ_a) permisos para hacer destrozos o ejecutar otras aplicaciones.