O bit de execução não tem nada a ver com o servidor HTTP. Os scripts CGI precisam disso porque o servidor HTTP usa exec (3) (e amigos) para executá-los. Os scripts PHP, por outro lado, são lidos e executados porque a configuração do servidor da web permite que eles o façam.
-
Portanto, sua escolha rápida é remover o read bit dos scripts PHP que você quer que o servidor HTTP não executar.
-
Leia o manual de configuração do seu servidor web e descubra se você pode tê-lo seletivamente (por diretório) executar scripts PHP (eu faço executar lighttpd e não sei se é possível ou não).