Aunque no tengas la directiva activada, es un gran agujero de seguridad!
Imagínate! Si tu página acepta subir archivos, te suben una Webshell y tienen acceso a todo tu servidor!

Además, pueden hacer algo como esto:
tupagina.com/index.php?file=../../../etc/passwd%00 (donde ../ es tantas veces como sea necesario) y
tienen acceso al archivo passwd de tu server sin ser una inclusión externa

Deberias checar antes los nombres de archivo que permites y pasar a la variable por ese chequeo antes de incluírla.