интересно можно ли назвать безопасным продукт в котором есть модуль умеющий исполнять php код из бд?
А если доступ к правке кода в бд есть только у группы доверенных человеков?

Да, я снова про битрикс. в редактировании веб формы (в админке искать по "настройка форм" ) можно сказать "игнорировать шаблон" и вбить php код в соответствующее textarea. И это выполнится вместо шаблона формы .

Другое дело, что для того чтобы это стало уязвимостью, необходимо узнать пароль администратора или человека которому раздолбай администратор доверил создание веб форм.