Que lean el settings.php no quiere decir que puedan saber que hay dentro, si no todos los ficheros .php serian vulnerables.

Ejecutar es que alguien ponga tusitio.com/sites/default/settings.php y se ejecute el script. En Drupal eso da un 404 por defecto (si es que pusiste los permisos correctos). Pero si te ponés a analizar, si alguien entra a ese fichero no puede obtener ningun dato, a no ser que vos pongas "echo $userdatabase" (suponiendo que ahi esta el nombre del usuario de la bd), pero como no existe eso, entonces no pasa nada.

Lo que si se ejecuta es el cron.php. Si pones tusitio.com/crop.php, ejecutas el cron, si tenes muchos eventos asociados al cron podes perder rendimiento, pero eso ya depende del sitio.

Cuando instalas un drupal, te pone que cambies los permisos del settings.php para que pueda sacar los datos que pusiste de la BD, pero cuando ya los tiene te pone que cambies los permisos para que nadie mas pueda ingresar a ellos. Aparte si pones 755 o 555 da lo mismo, ya que los permisos publicos solo van a ser de lectura. Y leer no quiere decir que pueden descargar el archivo y leerlo, quiere decir que es un fichero más que publicamente sabes que existe pero privadamente solo Drupal puede ejecutar (por eso el 7).

Saludos.