Según dice la documentación de PHP se corre riesgo el hacer llamados a esta función con paremetros provenientes de segundos, por lo que recomiendan
Código XML:
Ver originalSi se va a permitir que datos provenientes del usuario sean enviados a esta función, habría que utilizar escapeshellarg() o escapeshellcmd() para asegurarse que el usuario no intenta engañar al sistema para que ejecute comandos arbitrarios.
además te dejo el
link para mayor referencia