por la mera posibilidad de que inyecten código ajeno en tu campo de código `bueno`. usualmente la inyección de código se basa en HTML/Javascript, pero inyectar código PHP es definitivamente letal.

también debes considerar que eval es un tanto más lento que ejecutar código de la forma típica.