Certes mais ça peut rendre une attaque par injection autrement plus dangereuse. Donc s'il s'agit d'un fonction non documentée (apparemment ça n'est pas le cas de system en PHP) ça peut être un problème.
Java a eu des failles lié a ça à une époque. L'appel à des fonctions non documentées permettaient une élévation de privilèges alors qu'il était censé être en mode sandbox.