Visst phpsuexec ser till att alla script körs med uid/gid vilket blir mycke bekvämmare och see vem som laddat upp saker till /tmp etc.
Men när php är konfigurerat som CGI kan man ändra PHPRC(phprc pekar vart php.ini ska läsas ifrån detta kan du ändra att den läser en egen skapad php.ini under din home dir).
I detta fall kan du stänga av safe_mode öppna upp exec(),system(), stänga av openbase_dir osv.
Dock så har jag för mig att phpsuexec som standard låter dig använda egen skapade php.ini, vilket verkar helt idiotiskt användaren ska inte kunna ändra php konfigurationen.
Du kan te.x skafa dig skal access via php igenom detta.
Använder du mod_php använd openbase_dir för inte låta dom läsa andras filer. Slå på safe_mode stäng av alla funktioner som kan exekvera program mot servern.
Det finns enhel del patcher för öka säkerhet med mod_php.
http://www.hardened-php.net/
Om du verkligen måste köra php via cgi kolla upp mod_fcgid.