Boa pergunta, e a resposta é sim, há um risco aqui para você avaliar. Ele permitirá que um usuário que tenha acesso de gravação a um diretório específico crie um arquivo .htaccess e sobrescreva várias configurações:
- Configurações de autenticação
- Limites, como listas de permissões de IP / listas negras
- Como tipos de arquivos são tratados
- Opções nesse diretório
Portanto, um exemplo concreto de configuração de uma lista de desbloqueio global para um host virtual, o usuário pode sobrescrever isso no diretório em que ele pode gravar. Ou podem sobrescrever suas configurações globais que exigem um usuário autorizado.
Para saber mais sobre o que pode ser feito, consulte: link
Se não for um sistema compartilhado, o risco é mínimo, pois normalmente toda a instância do servidor da Web será executada como o mesmo usuário, portanto, isso não é realmente o que acontece se alguém invadir o servidor da web. Pode ser explorado se alguém puder encontrar um buraco em um script que você tenha e puder escrever um arquivo arbitrário, digamos que você tenha algum tipo de interface de upload.