Cgi en php zouden NOOIT met rootrechten mogen draaien, want dan zou je zelfs malware kunnen inplanten.
Een behoorlijk geconfigureerde webserver draait met zijn eigen user of - in de meest veilige setup - compleet ge-chroot.
In die gevallen zou je er weinig aan hebben environment variables met functiedefinities te laten uitvoeren in die setups.
Maar met de fixes voor bash die de afgelopen dag(en) voor zowat alle Linux distributies verschenen zijn, is dat dus in elk geval soweiso voltooid verleden tijd.