Al ponerlo sin la "/" al final lo que hago es dejar abierto que en todos los subdirectorios por debajo del último indicado en la directiva se pueden abrir archivos con php.

En esta página viene bien explicado:
http://www.phpbuilder.com/manual/features.safe-mode.php

Concretamente en este párrafo: "The restriction specified with open_basedir is actually a prefix, not a directory name. This means that "open_basedir = /dir/incl" also allows access to "/dir/include" and "/dir/incls" if they exist. When you want to restrict access to only the specified directory, end with a slash. For example: "open_basedir = /dir/incl/". "

¿No crees que será más sencillo meter los archivos .pdf en un BD Mysql y acceder a ellos a través de una página restringida con sesiones?

Me está quemando el tema de poner los archivos fuera del root del server.

Muchas gracias Cluster,

Saludos!!