Funciones como system o shell_exec de PHP no se usan en las aplicaciones web por motivos de seguridad pero no por ello estas funciones dejan de estar disponibles. Si un atacante consigue ejecutar instrucciones PHP podría usarlas para comprometer el servidor. Mediante disable_functions podemos evitarlo.

Para ello solo debemos añadir la opción en el php.ini con el listado separado por comas de funciones que queremos que no se puedan ejecutar. Por ejemplo:

disable_functions = proc_open , popen, disk_free_space, diskfreespace, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru, phpinfo

Fuente: systemadmin