Una expresión regular no es más que una cadena de texto, ¿que código podrían inyectarte ahí?

Es ridículo porque no vas a imprimir dichas expresiones, ni las vas a evaluar con eval(), ¿entonces qué tienen de peligroso?

Aún así escriban algo potencialmente peligroso (sería bueno que nos dieras un ejemplo) no sucederá nada porque sencillamente estás tratando dicha cadena como entrada para una expresión regular, es sólo texto, nada más.