Ben disons que quand tu utilises une commande (au pif, system en PHP) qui permet d'exécuter du code au niveau système avec l'utilisateur lançant PHP, ce n'est pas une surprise que le user apache/http soit en mesure de lancer une commande système à l'aide de PHP